Regeringens proposition 2004/05:164

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 26 maj 2005

Göran Persson

Pär Nuder

(Finansdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till en ny lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet som ersätter den nuvarande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Förslagen utgör en anpassning till den tekniska utvecklingen och de ökade kraven på effektivitet inom Tullverket. De från integritetssynpunkt viktiga yttre ramarna för behandling av uppgifter i Tullverkets brottsbekämpande verksamhet slås fast i lag, däribland ändamålen med behandlingen och de begränsningar som skall gälla för användningen av uppgifter. Förslagen innebär bl.a. att Tullverket får bättre möjligheter än i dag att i sin brottsbekämpande verksamhet använda sig av information som finns i tulldatabasen. Vidare skall andra brottsbekämpande myndigheter i större utsträckning kunna få ha åtkomst till Tullverkets register.

Lagen skall gälla i stället för personuppgiftslagen (1998:204) och innehåller hänvisningar till de bestämmelser i personuppgiftslagen som skall vara tillämpliga på Tullverkets brottsbekämpande verksamhet. Propositionen innehåller vidare följdändringar i annan lagstiftning.

Lagförslagen föreslås träda i kraft den 1 december 2005.

1

2.2Förslag till lag om ändring av sekretesslagen

2.3Förslag till lag om ändring i lagen (2000:1219) om

2.4Förslag till lag om ändring i lagen (2001:185) om

5.1Övergripande rättslig reglering av behandling av

5.1.1Europeiska konventionen om skydd för de

5.1.3Europarådets rekommendation

5.1.4Europeiska unionens stadga om de

5.2Reglering av Tullverkets behandling av person-

6.2.3Behandling av personuppgifter i löpande

6.3Samverkan och informationsutbyte mellan de brotts-

8.5Behandling av uppgifter för att förhindra eller upp-

8.5.2Behandling av personuppgifter i

8.6Behandling av uppgifter för att utreda eller beivra visst

8.7Behandling av uppgifter för internationellt tull-

8.9Uppgifter och handlingar som får behandlas i

9.2Elektroniskt utlämnande av uppgifter på medium för

10.3Sekretess och informationsutbyte mellan

10.5Sekretess och informationsutbyte i

3

15.3Lagen (2001:185) om behandling av uppgifter i

18.2Förslag till lag om ändring i sekretesslagen

18.3Förslag till lag om ändring av lagen (2000:1219) om

18.4Förslag till lag om ändring av lagen (2001:185) om

4

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

2.lag om ändring i sekretesslagen (1980:100),

3.lag om ändring i lagen (2000:1219) om internationellt tullsamarbete,

4.lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

5

Prop. 2004/05:164

2 Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller vid Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 7–10 och 19–26 §§ samt 27 § andra stycket gäller även vid behandling av uppgifter om juridiska personer.

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.

Tullbrottsdatabasen

3 § I Tullverkets brottsbekämpande verksamhet skall det finnas en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten (tullbrottsdatabas).

Regeringen meddelar närmare föreskrifter om de register som ingår i tullbrottsdatabasen.

4 § Åtkomsten till tullbrottsdatabasen skall begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Förhållandet till personuppgiftslagen

5 § Om inte annat anges i 6 § gäller denna lag i stället för personuppgiftslagen (1998:204).

6 § När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter som meddelats med stöd av lagen gäller personuppgiftslagens (1998:204) bestämmelser om

1.definitioner i 3 §,

2.förhållandet till offentlighetsprincipen m.m. i 8 §,

3.grundläggande krav på behandling i 9 § första stycket a, b och e–h,

4.information till den registrerade i 23 och 25–27 §§,

Dessutom får uppgifter som avses i första stycket behandlas om de Prop. 2004/05:164 förekommer i en handling som kommit in till Tullverket i ett ärende.

Behandling av uppgifter för att förhindra eller upptäcka brottslig verksamhet

12 § För sådant ändamål som anges i 7 § 1 får sådana uppgifter behandlas som

1.kan hänföras till en person, om de behandlade uppgifterna

a)ger anledning att anta att sådan verksamhet utövats eller kan komma att utövas som innefattar brott för vilket är föreskrivet fängelse i minst två år eller som innefattar andra brott, om verksamheten sker systematiskt, och

b)gör att personen skäligen kan misstänkas för att ha utövat eller komma att utöva verksamheten,

2.avser en person som utan att vara skäligen misstänkt kan antas ha samband med sådan verksamhet som avses i 1 a, eller

3.inte direkt kan hänföras till en person, om uppgifterna avser sådana transportmedel, varor eller hjälpmedel som kan antas ha samband med sådan verksamhet som avses i 1 a.

Uppgifter som avses i första stycket 2 får bara behandlas i ett ärende som rör viss preciserad sådan verksamhet som avses i första stycket 1 a. Endast de personer som arbetar med ärendet får ha direkt tillgång till uppgifterna.

13 § För sådant ändamål som anges i 7 § 1 får uppgifter som kommit in till Tullverket om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt.

Behandling av uppgifter för att utreda eller beivra visst brott

14 § För sådant ändamål som anges i 7 § 2 får uppgifter om den som kan misstänkas för brottet och om andra personer behandlas när det behövs för att utreda eller beivra brottet.

Endast de personer som arbetar med ärendet får ha direkt tillgång till uppgifterna.

Regeringen får meddela föreskrifter om att flera får ha tillgång till vissa särskilda kategorier av uppgifter.

Behandling av uppgifter för internationellt tullsamarbete

15 § Utöver vad som följer av 12–14 §§ får Tullverket behandla uppgifter för sådant ändamål som anges i 7 § 3.

Endast de personer som arbetar med tullsamarbete får ha direkt tillgång till uppgifterna.

8

Särskilda upplysningar Prop. 2004/05:164

16 § Uppgifter om en person som inte är misstänkt för brott skall förses med särskild upplysning om detta, om det inte på annat sätt klart framgår att personen inte är registrerad som misstänkt för brott. Kan personen inte heller skäligen misstänkas för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 12 § första stycket 1, skall upplysningen omfatta även detta.

Uppgifter om en person som kan antas ha samband med brottslig verksamhet skall förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Behandling av uppgifter om kvarstående misstankar

17 § Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om

1.den misstänkte enligt förundersökningsledarens bedömning fortfarande är skäligen misstänkt för brottet och

2.uppgifterna behövs för att förundersökningen skall kunna tas upp på

nytt.

18 § Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast

1.om förundersökningen tas upp på nytt, eller

2.för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.

Uppgifter som får behandlas i tullbrottsdatabasen

19 § Om förutsättningarna för behandling enligt 1, 7, 8 och 11–18 §§ är uppfyllda, får i tullbrottsdatabasen behandlas handlingar som kommit in till eller upprättats av Tullverket i ett ärende samt följande uppgifter:

1.uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

2.uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

3.upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,

4.de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,

5.uppgifter om särskilda fysiska kännetecken,

6.uppgifter om varor, brottshjälpmedel och transportmedel,

7.varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,

8.ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,

9.administrativa åtgärder i ett ärende,

9

10. uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra Prop. 2004/05:164 det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om

internationellt tullsamarbete,

11.hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 12 § första stycket 1 eller som är skäligen misstänkt för ett visst brott också förekommer, samt

12.upplysningar som avses i 16 §.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.

Uppgifter som behandlas enbart med stöd av 13 § får inte behandlas i tullbrottsdatabasen.

Sökbegrepp

20 § Uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får inte användas som sökbegrepp. Uppgifter som beskriver en persons utseende får dock användas som sökbegrepp.

21 § Namn, personnummer och samordningsnummer får användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet.

Första stycket gäller inte vid sökning bara i ett visst ärende eller en viss handling. Första stycket gäller inte heller vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende.

22 § Vid sökning efter en handling som kommit in eller upprättats i ett ärende får endast följande uppgifter användas som sökbegrepp:

1.uppgift om från vem handlingen har kommit in eller till vem den har expedierats,

2.datum då handlingen kom in eller upprättades,

3.diarienummer eller annan beteckning som har åsatts handlingen, och

4.i korthet vad handlingen rör.

Uppgiftsskyldighet

23 § På begäran av den som avser att utfärda vitesföreläggande enligt tullagen (2000:1281), skall upplysning lämnas om huruvida det i den brottsbekämpande verksamheten görs bedömningen att vite enligt 10 kap. 4 § tredje stycket tullagen inte får sättas ut.

24 § Uppgifter som är nödvändiga för att framställa rättsstatistik skall lämnas till den myndighet som ansvarar för att framställa sådan statistik.

10

Skatteverket och Kustbevakningen i sin brottsbekämpande verksamhet får ha direktåtkomst till uppgifter i tullbrottsdatabasen.

Gallring

27 § Uppgifter som behandlas automatiserat i ett ärende skall gallras senast ett år efter det att ärendet har avslutats. Det gäller dock inte uppgifter i förundersökningar. Uppgifter som inte hör till ett ärende och som inte ingår i tullbrottsdatabasen skall gallras senast ett år efter att de behandlades automatiserat första gången.

Uppgifter som avses i 19 § första stycket 1–12 skall gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende personen.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att uppgifter trots första eller andra stycket skall bevaras.

28 § Uppgifter som behandlas enbart med stöd av 13 § skall gallras så snart de inte längre har betydelse för planeringen av kontrollverksamhet och urvalet av kontrollobjekt, dock senast sex månader efter att de behandlades automatiserat första gången. Om uppgifterna hänför sig till en viss transport, skall de dock gallras senast fjorton dagar efter transporten.

I 6 kap. 24 § tullagen (2000:1281) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, finns bestämmelser om tillgången till och gallringen av vissa uppgifter från transportföretag.

Information till den registrerade

29 § Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta en handling som inkommit till eller upprättats av Tullverket i ett ärende, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, skall dock informationen omfatta även uppgift i en sådan handling.

Om informationen inte omfattar en handling som avses i första stycket, skall det av informationen framgå att handlingen finns.

11

1.Denna lag träder i kraft den 1 december 2005, då lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall upphöra att gälla.

2.Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.

12

lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid Prop. 2004/05:164 energiproduktion. I artiklarna 6.1 och 8.3 i rådets förordning (EG) nr

3295/94 av den 22 december 1994 om fastställande av vissa åtgärder avseende införsel till gemenskapen samt export och återexport från gemenskapen av varor som gör intrång i viss immateriell äganderätt finns bestämmelser om att uppgift i vissa fall får lämnas till enskild. Vidare får utan hinder av sekretessen uppgift i ärende om revision lämnas till en förvaltare i den reviderades konkurs.

I fråga om uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.

17 §3

Sekretess gäller för uppgift om enskilds personliga och ekonomiska förhållanden, om inte annat följer av 18 §

1.i utredning enligt bestämmelserna om förundersökning i brottmål,

2.i angelägenhet som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3.i angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4.i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott,

5.i Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller polismyndighet i brottmål,

6.i register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

7.i register som förs enligt lagen (1998:621) om misstankeregister,

8.i register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9.i särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 15 kap. 1 §,

lag,

om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

Prop. 2004/05:164

2.4Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs i fråga om lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

dels att 2 kap. 6 § skall upphöra att gälla,

dels att 1 kap. 1, 3 och 4 §§ skall ha följande lydelse.

1kap.

1 §

Vid behandling av personuppgifter som inte sker i databasen gäller även 22 § personuppgiftslagen.

4 §

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1.bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2.övervakning, revision och annan analys- eller kontrollverksamhet,

3.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 7 § lagen (2005:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Denna lag träder i kraft den 1 december 2005.

22

Prop. 2004/05:164

ändringar gjorts.

4 Tullverkets organisation och verksamhet

4.1Tullverkets organisation

Före den 1 juli 1999 bestod Tullverket av Generaltullstyrelsen och ett antal regionala tullmyndigheter. Dessa olika delar av Tullverket var självständiga myndigheter med Generaltullstyrelsen som chefsmyndighet.

Den 1 juli 1999 genomfördes en omorganisation som bl.a. innebar att Tullverket blev en myndighet. Myndigheten organiserades med ett huvudkontor och sex regioner. Huvudkontoret ålades det övergripande strategiska verksamhetsansvaret medan regionerna ansvarade för de operativa arbetsuppgifterna. Omorganisationen var ett led i en större förändring inom ramen för vilken myndigheten införde en ny processorienterad verksamhetsindelning.

Tullverket har emellertid efter en intern utredning funnit det lämpligt att frångå indelningen i regioner och att införa en organisation som enbart är baserad på processer. Processerna delas upp i olika ämnesområden och det operativa ansvaret för ett antal specifika ämnesområden bärs av ett kompetenscenter för hela landet. Huvudkontoret, bestående av verksledningen och dess staber samt processledningarna och deras staber, skall ha det sammanhållande ansvaret för ledning och styrning av verksamheten. Den nya utformningen av Tullverkets organisation trädde i kraft den 1 juli 2004.

4.2Tullverkets verksamhet

Tullverkets huvudsakliga ansvarsområde består dels av att fastställa och uppbära tull och importskatter (främst mervärdesskatt) samt avgifter så att en korrekt uppbörd kan säkerställas, dels av att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor efterlevs. Vidare bedriver Tullverket viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelser om in- och utförsel av varor. Detta regleras i förordningen (1991:1524) med instruktion för Tullverket.

Tullverkets verksamhet delas i regeringens regleringsbrev in i två verksamhetsgrenar; uppbörd respektive in- och utförselrestriktioner. Inom Tullverket är arbetet emellertid som ovan beskrivits processorienterat. Verksamheten är i den nya organisationen indelad i tre olika processformer; ledningsprocesser, huvudprocesser och stödprocesser. Verkets kärnverksamhet utgörs av de två huvudprocesserna Effektiv handel och Brottsbekämpning, vilka i allt väsentligt motsvarar de båda verksamhetsgrenarna i regleringsbrevet.

24

Kärnverksamheten kan även förenklat beskrivas som uppdelad i fiskal Prop. 2004/05:164 verksamhet och brottsbekämpande verksamhet. Denna uppdelning

motsvarar i princip de två huvudprocesserna och används bl.a. inom lagstiftningen för att definiera dess tillämpningsområde, t.ex. avseende behandling av uppgifter. Uppdelningen är dock teoretisk och på grund av verksamhetens karaktär är det svårt att göra klara gränsdragningar mellan de olika verksamhetsgrenarna. I begreppet fiskal verksamhet ingår t.ex. såväl fastställande av korrekt uppbörd som kontroller av deklarationsskyldighet. Det brottsbekämpande ansvaret gäller all brottslighet inom myndighetens ansvarsområde, avseende såväl uppbörd som in- och utförselrestriktioner.

4.2.1 Tullverkets huvudprocesser

Effektiv handel

Tullverkets primära uppgifter i egenskap av beskattningsmyndighet är att uppbära tull, annan importskatt och avgifter samt att underlätta handeln med tredje land genom att snabbt och effektivt handlägga frågor om bl.a. uttag av tullar och skatter och kontrollera trafiken till och från utlandet så att bl.a. bestämmelser om import och export efterlevs.

I huvudprocessen Effektiv handel behandlas det legala kommersiella varuflödet för vilket det finns en deklarationsskyldighet till Tullverket. Till det kommersiella varuflödet räknas här även försändelser till privatpersoner som medför deklarationsskyldighet till Tullverket, men inte vad en resande medför vid inresa från tredje land för privat bruk.

Processen Effektiv handel är organisatoriskt uppdelad i två övergripande områden, s.k. produktionsprocesser, Kvalitetssäkrat flöde och Övrigt flöde. Inom dessa finns delprocesserna Före gränspassage, Vid respektive Under gränspassage samt Efter gränspassage. Processen hanteras operativt av tre kompetenscenter, KC Ombud, KC Företag och KC Kvalitetssäkrade operatörer, vilka är placerade i Malmö, Stockholm respektive Göteborg.

Verksamheten syftar till att hantera den kommersiella godstrafiken och består av tre övergripande arbetsflöden; import, export och transit. Den inleds med överväganden hos ett företag att importera, exportera eller transitera varor och avslutas när Tullverket har levererat korrekt uppbörd och avlämnat statistikuppgifter till SCB eller när en transitering avslutats.

Brottsbekämpning

Tullverkets brottsbekämpande verksamhet har till uppgift att förhindra, upptäcka och beivra överträdelser av införsel- och utförselrestriktioner för varor varvid man samtidigt skall arbeta mot storskalig och organiserad brottslighet. Verksamheten skall vidare medverka till att den legala handeln kan bedrivas utan risk för att utsättas för illojal konkurrens och att samhället skyddas mot illegal handel med t.ex. hälsovådliga varor som narkotika. Härutöver tillkommer uppgifterna att för andra myndigheters räkning medverka i olika bevakningsuppgifter inom jakt- och fiskeövervakning, fjällräddning, militär bevakning och

25

tekniska hjälpmedel och IT-stöd sker för att ytterligare öka Prop. 2004/05:164 träffsäkerheten i kontrollerna samt för att kunna göra relevanta

prioriteringar i verksamheten mot trafik och orter där hotbilden är som störst.

Storskalig och organiserad brottslighet (SOB)

Arbetet med att bekämpa den organiserade och storskaliga brottsligheten avseende främst smuggling sker i produktionsprocessen Organiserad brottslighet. Här återfinns ca 350 årsarbetskrafter som en nationell resurs och arbetet leds gemensamt av tre kompetenscenter och deras operativa ledning i form av det operativa rådet (OPR). Arbetet är helt projekt- eller ärendebaserat med projektledare som beroende på ärendets karaktär kan förfoga över underrättelseresurser, spaningsgrupper, brottsutredare, ekonomer och andra specialister över hela landet. I dessa projekt sker även samarbete med andra brottsbekämpande myndigheter. Verksamheten skall därigenom bättre kunna anpassas till ärendenas karaktär och kompetensbehov över tiden. Med samlad och relevant kompetens för hela underrättelse- och utredningskedjan ökar förutsättningarna för att effektivt kunna ingripa mot den organiserade och storskaliga brottsligheten. Att arbeta i projektform underlättar detta arbete och gör det smidigare att t.ex. samarbeta med andra myndigheter.

Tullverket utreder brott som upptäckts i det gränsöverskridande resande- och varuflödet och har också till uppgift att förse åklagare och domstolar med underlag. I cirka hälften av brottsutredningarna fungerar en åklagare som förundersökningsledare. Vid förundersökningar som leds av allmän åklagare, fungerar Tullverkets projektledare som arbetsledare för Tullverkets personal och resurser och biträder samtidigt i denna roll åklagaren. Antalet stora och komplicerade utredningar har ökat, t.ex. avseende smuggling av alkohol och tobak, vilka ofta har internationell anknytning. Detta ställer krav på snabba och effektiva kontakter med utländska tullmyndigheter. Det är även av vikt att samarbetet fungerar väl med andra brottsbekämpande nationella myndigheter för att åstadkomma ett gott utredningsarbete.

Analysverksamhet

Huvuduppgiften för Tullverkets analysverksamhet är att bedriva analysverksamhet och ge analysstöd till huvudprocesserna effektiv handel och brottsbekämpning. Analysverksamheten är integrerad i respektive huvudprocess och syftar till att Tullverkets åtgärder, i form av fysiska kontroller, deklarationskontroller, tullrevision och informationsinsatser, primärt skall sättas in inom de områden eller på de trafikflöden där risken för fel eller överträdelser är störst. Identifierade risker och hot delges de båda processerna i form av riskprofiler i syfte att dessa skall kunna ges möjlighet att på ett effektivt sätt bemöta och förebygga eventuella risker och hot. I arbetet med att samla in relevant information har Tullverkets analysverksamhet ett nära samarbete med andra nationella och internationella myndigheter och organisationer.

27

Verket har dessutom ett antal sambandsmän stationerade i andra Prop. 2004/05:164 europeiska länder.

Ett av analysverksamhetens uppdrag är att, i samråd med övriga processer, årligen utarbeta särskilda risk- och hotbildsanalyser. Detta arbete sker inom ramen för ett processövergripande analysnätverk, som också svarar för övergripande policyfrågor inom analysverksamheten. I risk- och hotbildsanalysen identifieras risker och hot vars förekomst nu eller i en nära framtid inverkar eller kan komma att inverka negativt på Tullverkets förmåga att upprätthålla in- och utförselrestriktioner eller att inbringa rätt uppbörd. Risk- och hotbildsanalysen skall också innehålla förslag på konkreta åtgärder för att motverka eller förebygga identifierade risker och hot. Syftet med risk- och hotbildsanalysen är primärt att den skall utgöra ett relevant beslutsunderlag vid prioritering och verksamhetsinriktning.

4.2.2 Rättslig grund för verksamheten

Fiskal verksamhet

Tullagen (2000:1281) kompletterar rådets förordning (EEG) nr 2913/92 (tullkodexen), samt kommissionens förordning (EEG) nr 2454/93 (tillämpningskodexen). Tullkodexen och tullagen innehåller den grundläggande regleringen avseende export och import av varor till och från tredje land, t.ex. anmälnings- och deklarationsskyldighet, tulluppbörd och transitering. Tullagen innehåller också bestämmelser om vilka kontrollåtgärder och tvångsmedel som Tullverket får vidta för att möjliggöra övervakning och kontroll av import eller export av varor. Vidare har Tullverket befogenheter att utföra kontroller i enlighet med lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och mineraloljeprodukter.

För att kunna kontrollera att deklarations- och uppgiftsskyldigheten enligt tullagstiftningen har fullgjorts på ett riktigt sätt har Tullverket enligt tullagen rätt att besluta om revision hos den uppgiftsskyldige, varvid det finns möjlighet att utfärda vitesföreläggande och vidta andra tvångsåtgärder enligt lagen (1994:466) om särskilda tvångsåtgärder i beskattningsförfarandet. För det fall att misstanke om brott uppstår kommer emellertid utredningen i stället att falla inom ramen för den brottsbekämpande verksamheten.

Behandlingen av uppgifter i den fiskala verksamheten regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet (se avsnitt 5.2.3).

Brottsbekämpande verksamhet

Tullverkets brottsbekämpande verksamhet avser brottslighet inom hela myndighetens ansvarsområde, såväl uppbördsområdet som restriktionsområdet. Den brottsbekämpande verksamheten kan således inte beskrivas som åtskild från den fiskala verksamheten. Tvärtom är de båda verksamhetsgrenarna i praktiken nära sammanhängande.

28

Som ovan beskrivits har Tullverket inom ramen för den fiskala Prop. 2004/05:164 verksamheten befogenheter enligt tullagstiftningen att utföra kontroller

av det legala handelsflödet för att tillse att erforderlig tullbehandlig sker samt att korrekt tull, skatt eller avgift erläggs. För kontroll av in- och utförselrestriktioner avseende inre gräns finns vidare bestämmelser i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen). Lagen ger Tullverket befogenheter att utföra kontroller av en rad uppräknade varor, såsom vapen och narkotika, för att tillse att t.ex. införselförbud eller restriktioner efterlevs. Teoretiskt sett omfattas åtgärderna i inregränslagen av den brottsbekämpande verksamheten men i praktiken utförs kontrollerna enligt tullagstiftningen och inregränslagen av tullpersonal inom såväl processen effektiv handel som processen brottsbekämpning. Inom ramen för Tullverkets analysverksamhet identifieras områden, företeelser eller objekt med förhöjd risk för fel eller oegentligheter (riskprofiler), för att effektivisera kontrollerna vad avser såväl uppbörd som restriktioner.

Den legala grunden för den brottsbekämpande verksamheten utgörs främst av lagen (2000:1225) om straff för smuggling (smugglingslagen) som innehåller bestämmelser om ansvar m.m. för gärningar som rör in- eller utförsel av varor. Smugglingslagen innehåller också särskilda bestämmelser avseende förundersökning, tvångsmedel, åtal m.m. vid brott som rör in- eller utförsel av varor, vilka bygger på motsvarande bestämmelser i rättegångsbalken. Om det föreligger misstanke om brott mot bestämmelserna om in- och utförsel av varor, har Tullverket rätt att fatta beslut om att förundersökning skall inledas. Ledningen av förundersökningen skall dock övertas av en åklagare om saken inte är av enkel beskaffenhet. Vidare har tulltjänstemän bl.a. rätt att ta egendom i beslag under vissa förutsättningar liksom att föranstalta om husrannsakan, kroppsvisitation och kroppsbesiktning.

Behandlingen av uppgifter i den brottsbekämpande verksamheten regleras i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet (se avsnitt 5.2.2).

4.3Tullverkets utvecklingsarbete och samarbetsprojekt

snabbare flöde av varor, vilket i sin tur förväntas öka de svenska Prop. 2004/05:164 företagens konkurrenskraft. De företag som är kvalitetssäkrade inom

ramen för tullsystemet Servicetrappan omfattas av ett avancerat kvalitetssäkringsprogram som utgår från företagens egna system, s.k. systemkontroller. Kvalitetssäkring av övriga företags import- och exportverksamhet sker genom traditionella transaktionskontroller.

Tullsystemet Servicetrappan har, som en konsekvens av det ökade terrorhotet i världen, numera även utvecklats till att innehålla en särskild säkerhetsmodul, StairSec. Denna säkerhetsmodul, som omfattar hela den logistiska kedjan från producent till slutmottagare vad gäller varutrafiken till och från Sverige, har rönt stort internationellt intresse och fungerar nu som förebild för många andra tulladministrationers arbete i kampen mot terrorism.

Tullverket har också prioriterat utveckling av olika elektroniska tjänster och detta arbete bedrivs inom ramen för det virtuella tullkontoret, DVT. Sedan något år tillbaka pågår även ett omfattande utvecklingsarbete av ett IT-baserat stödsystem för Tullverkets brottsbekämpande verksamhet. Systemet kommer att införas successivt med början under andra halvåret 2005.

4.4Internationellt samarbete

Det internationella samarbetet är sedan länge ett prioriterat område i Tullverkets verksamhet. Förutom att Tullverket bistår Regeringskansliet i det omfattande arbetet inom ramen för EU, deltar verket även i World Customs Organisation (WCO), Asia Europe Meeting (ASEM) och Östersjösamarbetet liksom i olika internationella program. Vidare har Sverige ingått ett flertal bi- och multilaterala avtal avseende ömsesidigt bistånd inom tullområdet, vilka har stor betydelse för det internationella tullsamarbetet.

Samarbetet avser i många fall utbyte av information med andra medlemsstater i EU, med tredje land eller med olika internationella organisationer. Utbytet styrs av olika rättsakter, bl.a. konventioner och samarbetsavtal (se avsnitt 5.2.1).

Inom säkerhetsområdet har Tullverket under flera år bedrivit samarbete med US Customs and Border Protection, USCBP. Detta samarbete har bl.a. lett fram till att ett särskilt samarbetsavtal har tecknats mellan Sverige och USA kring kontroll av containertrafik.

5 Gällande rätt

5.1Övergripande rättslig reglering av behandling av personuppgifter

och 13 i konventionen har betydelse för myndigheternas rätt att behandla Prop. 2004/05:164 personuppgifter.

I artikel 8 stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Kravet att ett ingripande skall vara nödvändigt innebär att det skall föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. Åtgärden får dock inte gå längre än vad som är erforderligt med beaktande av proportionalitetsprincipen. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser göra de avvägningar i bevis- och andra bedömningsfrågor, vilka läggs till grund för ett ingripande.

Primärt innebär artikel 8 att staten skall avhålla sig från ingrepp i den skyddade rättigheten, utom i de fall som omfattas av de i artikeln föreskrivna undantagen. Artikelns räckvidd är dock inte begränsad i detta avseende utan staten är också i viss mån skyldig att vidta positiva åtgärder för att skydda den enskildes privata sfär. Sådana positiva åtgärder kan utgöras av lagstiftningen men också av skydd mot övergrepp i särskilda situationer. Även utan att det förekommit något ingripande från myndighet eller offentlig tjänsteman kan staten således under vissa förutsättningar anses ha brutit mot artikel 8 genom att tolerera en föreliggande situation eller genom att inte skapa ett tillräckligt rättsligt skydd. Statens ansvar för en underlåtenhet kan då aktualiseras, trots att det övergrepp som visat att det rättsliga skyddet var otillräckligt utförts av en enskild person, för vars handlande staten inte i och för sig kan anses ansvarig. De krav som ställs på staten måste vara rimliga. Vad som i huvudsak kan förväntas är att staten utfärdar lagar och förordningar som ger ett tillfredsställande skydd åt privatliv, familjeliv, hem och korrespondens (Hans Danelius, Mänskliga rättigheter i europeisk praxis – En kommentar till Europakonventionen om de mänskliga rättigheterna, uppl. 1:2, 1998, Norstedts Juridik, Stockholm, s. 220 f ).

I artikel 13 föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, skall ha tillgång till ett effektivt rättsmedel inför en nationell myndighet och detta även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde skall ha tillgång till en nationell instans för att få saken prövad och erhålla rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan därmed vara tillräcklig.

5.1.2Dataskyddskonventionen m.m.

Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter

(dataskyddskonventionen). Konventionens innehåll kan ses som en

31

precisering av skyddet vid användning av automatisk databehandling Prop. 2004/05:164 enligt artikel 8 i Europakonventionen. Dataskyddskonventionens syfte är

att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen har emellertid i princip övertagits av dataskyddsdirektivet inom dess tillämpningsområde i och med att detta införlivats i medlemsländernas nationella lagstiftningar. Dataskyddskonventionen gäller dock helt generellt, t.ex. även vid behandling av personuppgifter för brottsbekämpning, medan tillämpningsområdet för dataskyddsdirektivet är mer begränsat.

Internationella riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen.

5.1.3Europarådets rekommendation No. R (87) 15

Utöver dataskyddskonventionen har Europarådet tagit fram rekommendationer om dataskydd sektorsvis, bl.a. en rekommendation, No. R (87) 15, som reglerar användningen av personuppgifter inom polissektorn. Rekommendationen är tillämplig även på tullmyndigheternas verksamhet av polisiär natur, dvs. den brottsbekämpande verksamheten inom Tullverket.

Rekommendationen innehåller speciella dataskyddsregler för personuppgifter som samlas in, lagras, används eller överförs med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott samt upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in, om inte den nationella lagstiftningen tillåter ett mer omfattande uppgiftssamlande. Skilda kategorier av lagrade uppgifter skall så långt möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet skall uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte Prop. 2004/05:164 är att kodifiera de grundläggande fri- och rättigheterna som EU redan

erkänner. För närvarande är stadgan inte mer än en viljeförklaring avseende de redan existerande rättigheterna.

I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter skall behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet skall kontrollera att reglerna efterlevs. Stadgan avser endast verksamhet som utförs av EU:s egna organ och institutioner och blir tillämplig för medlemsstaterna endast i de fall de tillämpar EG-rätten. Stadgan är följaktligen inte tillämplig avseende nationell lagstiftning inom områden där EU inte har givits lagstiftningskompetens.

Såvitt avser de garanterade rättigheternas räckvidd anförs i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan skall vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. Hänvisning görs också till de grundläggande fördragen och Europakonventionen. De rättigheter som skyddas i stadgan skall ha samma innebörd och räckvidd som de som skyddas i konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter. Missbruk av rättigheter, såsom att t.ex. utnyttja en bestämmelse i stadgan för att åsidosätta en annan bestämmelse, är uttryckligen förbjudet i stadgan.

5.1.5Dataskyddsdirektivet

Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) är att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och därigenom främja ett fritt flöde av personuppgifter mellan medlemsstaterna.

Dataskyddsdirektivet måste införlivas i lagstiftningen på nationell nivå för att bli tillämpligt i en medlemsstat. Medlemsstaterna kan inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.

Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Utanför

tillämpningsområdet faller t.ex. ostrukturerade akter.

33

genomförs (prop. 1997/98:44). Direktivet är som tidigare nämnts tillämpligt på all behandling av personuppgifter, med undantag för sådan som faller utanför gemenskapsrätten. Personuppgiftslagen är dock generellt tillämplig och omfattar även sådan behandling som faller utanför gemenskapsrätten. Särreglering i lag eller förordning gäller emellertid framför personuppgiftslagen.

Lagen innehåller de generella regler som följer av direktivet om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerheten vid behandlingen etc.

Personuppgiftslagen innehåller generella riktlinjer för all behandling av personuppgifter som är helt eller delvis automatiserad. Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte av lagen.

Med behandling av personuppgifter avses varje åtgärd som vidtas beträffande uppgifter, exempelvis insamlande, bevarande och spridande av uppgifter. Personuppgiftslagen tillämpas på all automatiserad behandling av personuppgifter och det finns inget krav på att dessa uppgifter skall vara strukturerade i register eller liknande. Vidare är lagen tillämplig på manuell behandling av uppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

En personuppgiftsansvarig skall bl.a. se till att uppgifterna behandlas bara om det är lagligt samt på ett korrekt sätt och i enlighet med god sed samt att uppgifterna samlas in bara för särskilda uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in.

Personuppgiftslagen förbjuder andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det finns dock möjlighet att meddela undantag från detta förbud.

Enligt lagen är det vidare förbjudet att till tredje land föra över personuppgifter om landet inte har en adekvat nivå för skyddet av personuppgifterna. När det gäller att avgöra om skyddsnivån är adekvat skall alla omständigheter kring överföringen beaktas, varvid särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, ursprungslandet och de regler som finns för behandlingen i det tredje landet. I vissa fall får dock överföring av personuppgifter till tredje land ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen. Regeringen får under vissa förutsättningar meddela föreskrifter om undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Det kan avslutningsvis anmärkas att regeringen den 1 mars 2002 tillsatte en utredning med uppgift att göra en översyn av

35

personuppgiftslagen (Dir. 2002:31). Personuppgiftslagsutredningen (Ju Prop. 2004/05:164 2002:02) avlämnade sitt betänkande Översyn av personuppgiftslagen

(SOU 2004:6) i februari 2004. Betänkandet innehåller bl.a. förslag till vissa lättnader vad avser tillämpningen av personuppgiftslagen.

5.2Reglering av Tullverkets behandling av personuppgifter

5.2.1Internationella överenskommelser

Samarbete mellan tullmyndigheterna i EU:s medlemsstater sker såväl inom ramen för gemenskapens första pelare (de europeiska gemenskaperna) som inom ramen för det mellanstatliga samarbetet i den tredje pelaren (rättsliga och inrikes frågor). Utbyte av information sker bl.a. genom tullinformationssystemet (TIS).

Vad gäller stater utanför EU, s.k. tredje länder, finns ett flertal bilaterala samarbetsavtal som medger utbyte av information. Vidare har ett flertal konventioner och rekommendationer om tullsamarbete, informationsutbyte m.m. överenskommits inom ramen för World Customs Organisation (WCO).

5.2.1.1EU:s tullinformationssystem (TIS)

Den rättsliga grunden för EU:s tullinformationssystem består dels av rådets förordning (EG) nr 515/97 (EGT L 82, 22.3.1997, s. 1) om ömsesidigt bistånd i tullärenden vilken trädde i kraft den 13 mars 1998, dels konventionen om användning av informationsteknologi för tulländamål (TIS-konventionen) (EGT C 316, 27.11.95, s. 34). TIS- konventionen undertecknades av medlemsstaterna den 26 juli 1995. Konventionen har därefter kompletterats med ett antal tilläggsprotokoll avseende bl.a. EG-domstolens behörighet att meddela förhandsavgöranden angående tolkningen av konventionen samt inrättandet av ett register för identifiering av tullutredningar (FIDE) (EUT C 139, 13.6.03, s. 1). Konventionen blev provisoriskt tillämplig den 1 november 2000 efter att åtta av medlemsstaterna, däribland Sverige, ratificerat den. Samtliga femton medlemsstater har fortfarande ännu inte ratificerat konventionen.

Syftet med tillskapandet av TIS är att söka tillgodose behovet av snabb och effektiv informationsspridning för den brottsbekämpande verksamheten med anknytning till EU:s tull- och jordbruksreglering. Systemet är tänkt att komma till användning i tullmyndigheternas arbete med att bekämpa brott mot såväl gemenskapens regler inom tull- och jordbruksområdet som nationell lagstiftning som faller under tullmyndigheternas ansvarsområde.

TIS utgör ett samlingsbegrepp för två från varandra logiskt skilda databaser. Den första databasen, TIS I, utgör ett verktyg för att bekämpa överträdelser av de gemenskapsrättsliga tull- och jordbruksbestämmelserna, dvs. inom ramen för gemenskapens första pelare. Den andra databasen, TIS III, styrs av bestämmelserna i TIS-

5.2.1.3Tullsamarbetsavtal

Sverige har ingått bilaterala avtal om ömsesidigt bistånd i tullfrågor med drygt tjugo länder. Tullsamarbetsavtalen avser ofta både administrativt samarbete för att fastställa korrekta tullar och rent brottsbekämpande samarbete, t.ex. avseende smuggling av narkotika.

Reglerna för samarbetet är relativt likartade och utgår från ett standardavtal som utarbetats inom WCO, vilket bl.a. avser utbyte av information. För varje avtal finns en nationell förordning som implementerar avtalen i svensk rätt.

5.2.2Lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet

Den gällande regleringen om behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet finns i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, som trädde i kraft den 1 april 2001 (prop. 2000/01:54). Föreskrifter till lagen finns i förordningen (2001:88) med samma namn.

Lagen gäller utöver personuppgiftslagen och innehåller endast de särbestämmelser som är nödvändiga i Tullverkets brottsbekämpande verksamhet. Tullverkets behandling av personuppgifter i samband med verkets fiskala verksamhet att uppbära skatter och tull faller därmed utanför lagens tillämpningsområde. Utanför lagen faller också behandling av personuppgifter för administrativa ändamål inom Tullverket.

Lagen omfattar all automatiserad behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Manuell behandling som inte sker i viss angiven form faller helt utanför lagens tillämpningsområde.

I lagtexten definieras begreppet brottsbekämpande verksamhet såsom underrättelse, spaning och utredning av brott, vilka Tullverket enligt lag eller förordning har befogenhet att ingripa mot, samt förebyggande av sådana brott.

5.2.3Lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, samt förordningen (2001:646) med samma namn, reglerar behandling av uppgifter inom Tullverkets fiskala verksamhet (prop. 2000/01:33). Lagen föreskriver att det skall finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt för de i verksamheten angivna ändamålen, en tulldatabas.

38

Lagen är tillämplig på all behandling av personuppgifter i Tullverkets Prop. 2004/05:164 fiskala verksamhet som är helt eller delvis automatiserad, dvs. såväl

tulldatasystemet som riskanalysregistret. Manuell behandling omfattas av lagen endast om personuppgifterna i fråga ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Tullverkets behandling av personuppgifter i brottsbekämpande verksamhet faller helt utanför lagens tillämpningsområde. Uppgifter får enligt lagen behandlas för tillhandahållande av information som behövs hos Tullverket för bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet, fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och tillsyn, kontroll, uppföljning och planering av verksamheten.

5.2.4Lagen (2000:1219) om internationellt tullsamarbete

Lagen (2000:1219) om internationellt tullsamarbete ger den rättsliga grunden för Tullverket att fullgöra det samarbete med andra staters tullmyndigheter som Sverige åtagit sig i sina internationella överenskommelser (prop. 1999/2000:122). Förutom de bilaterala samarbetsavtal som Sverige har ingått med ett flertal stater är lagen även tillämplig på tullsamarbete som följer av EG:s förordningar, t.ex. TIS- förordningen, och internationella konventioner såsom tullsamarbetskonventionen och TIS-konventionen. Lagen är emellertid inte tillämplig på det fiskala samarbete som avser bistånd med indrivning av fordringar eller andra åtgärder som inte berör överträdelser av tullbestämmelser.

Överenskommelserna kan avse rent administrativa åtgärder som t.ex. informationsutbyte, men även ömsesidigt bistånd i form av operativa åtgärder, såsom utförande av övervakning åt en annan stat.

Lagen innehåller en sekretessbrytande bestämmelse som särskilt reglerar det svenska uppgiftslämnandet i det internationella tullsamarbetet.

Personuppgiftslagen är tillämplig på behandling av personuppgifter enligt lagen om internationellt tullsamarbete, såvitt inte annat är föreskrivet. För att kunna uppfylla de åtaganden som Sverige har gjort genom de olika internationella överenskommelserna med andra länder, måste överföring av personuppgifter vara möjligt även med länder utanför EU. Med hänsyn till den betydelse internationellt samarbete mellan tullmyndigheter har i kampen mot bl.a. den organiserade brottsligheten, har utbyte av personuppgifter inom detta område ansetts utgöra ett sådant viktigt allmänt intresse, att undantag från personuppgiftslagens förbud att överföra personuppgifter har medgetts.

39

6.1Allmänt om informationshantering

Tullverket för ett flertal olika register inom ramen för såväl den fiskala som den brottsbekämpande verksamheten. Myndigheten har därutöver tillgång till information från andra myndigheter, organisationer och företag. Nedan följer en kortfattad redogörelse för Tullverkets nuvarande hantering av information i form av register samt övrig behandling av personuppgifter som verket ansvarar för, liksom för informationsutbytet med bl.a. andra brottsbekämpande myndigheter.

6.2Befintliga informationssystem inom Tullverket

6.2.1Register och andra datasystem i den brottsbekämpande verksamheten

Underrättelseregistret

Underrättelseregistret (tidigare SPADI) är inrättat med stöd av lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Registret får föras för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet och för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Med allmänna uppgifter avses t.ex. smugglingsrutter och brottstrender. Registreringen har till syfte att få fram tillräckligt underlag för en mer djupgående undersökning avseende sådan brottslig verksamhet som kan leda fram till en förundersökning eller en annan åtgärd av brottsförebyggande eller brottsförhindrande karaktär.

Registret innehåller bl.a. uppgifter om händelser, personer, organisationer och transportmedel som kan sättas i samband med allvarlig brottslig verksamhet som det åligger Tullverket att ingripa mot. Vidare får uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet samt uppgifter om hjälpmedel registreras, även om uppgifterna kan hänföras till en person som det inte finns någon misstanke mot, s.k. indirekta personuppgifter. Det skall i sådana fall av registret framgå att personen ifråga inte är misstänkt för något brott.

Tullverket och Rikspolisstyrelsen får ha direktåtkomst till underrättelseregistret. Polismyndigheterna och Kustbevakningen får ha direktåtkomst till registret i de delar som avser förslag till åtgärder och allmänna strategiska uppgifter. Uppgifter ur registret får lämnas ut till Ekobrottsmyndigheten eller Skatteverket endast om uppgifterna kan antas ha särskild betydelse för en pågående undersökning i myndigheternas brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Underrättelseregistret kommer att ersättas av RITA, se avsnitt 6.2.2.

40

(BRÅDIS). Tullverket har utvecklat ett särskilt system (Tudor) för att Prop. 2004/05:164 föra över uppgifter från TMJ till misstankeregistret och BRÅDIS. TMJ

används således inte alls i den operativa kontroll- eller analysverksamheten.

Eftersom TMJ emellertid inte längre bedöms vara ändamålsenlig kommer den i framtiden att ersättas av ett nytt system, Tullverkets integrerade brottsutredningsregister (TIGER). Ett nytt IT-stöd för den brottsutredande verksamheten bedöms kunna medföra bl.a. att rättssäkerheten och kvaliteten på brottsutredningarna ökar, att resurser frigörs genom att registreringsarbetet underlättas samt att verksamhetsuppföljningen blir mer rationell.

TIGER kommer i huvudsak att bestå av tre delar, en funktion för registrering och överföring av uppgifter, ett ärendehanteringssystem som bygger på en elektronisk handläggning samt ett statistik- och rapporteringssystem. TIGER skall också kunna kommunicera med andra myndigheters system och register, såsom misstanke- och belastningsregistren.

Rutiner för strafföreläggande och ordningsbot

Med stöd av förordningen (1997:902) om register över strafförelägganden förs ett register för handläggning och indrivning av strafförelägganden (EnVis). EnVis har utvecklats av Åklagarmyndigheten (tidigare Riksåklagaren) och består av en central och en lokal del. Den lokala delen, vilken Tullverket har installerat, används för registrering och utfärdande av strafförelägganden och den centrala för uppföljning, bl.a. registrering av godkännande av ett strafföreläggande.

I enlighet med förordningen (1997:903) om register över förelägganden av ordningsbot förs ett register för förelägganden av ordningsbot (RIOB). Rikspolisstyrelsen är ansvarigt för RIOB och Tullverkets förelägganden av ordningsbot läggs in i registret av Rikspolisstyrelsen. Förslag till ändring i nämnda förordning i syfte att möjliggöra för Tullverket att genom direktåtkomst registrera förelägganden bereds för närvarande inom Regeringskansliet.

Tullinformationssystemet (TIS)

Den rättsliga grunden för EU:s tullinformationssystem består dels av rådets förordning (EG) nr 515/97 (EGT L 82, 22.3.1997, s. 1) om ömsesidigt bistånd i tullärenden, dels konventionen om användning av informationsteknologi för tulländamål (TIS-konventionen) (EGT C 316, 27.11.95, s. 34). Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS. Se vidare avsnitt 5.2.1.1.

Uppgifter ur informationssystemet får användas av Tullverket, svenska polismyndigheter, Kustbevakningen, Jordbruksverket och Läkemedelsverket i den utsträckning myndigheterna har befogenhet att

vidta åtgärder för att förebygga, utreda och beivra överträdelser av EU:s

42

tull- eller jordbrukslagstiftning. Tullverket, polismyndigheter och Prop. 2004/05:164 Kustbevakningen får ha direktåtkomst till uppgifter i samtliga kategorier

i TIS. Jordbruksverket och Läkemedelsverket har direktåtkomst till viss begränsad information. Det är däremot bara Tullverket som har rätt att föra in uppgifter i systemet.

Tullverket är registeransvarig för TIS i Sverige samt för de föreskrivna säkerhetsåtgärderna. Tullverket är vidare ansvarig för bevarande och gallring av svenska uppgifter som förts in i systemet. Datainspektionen är nationell tillsynsmyndighet för skydd av personuppgifter i informationssystemet.

6.2.2Register och andra datasystem i den fiskala verksamheten

Tulldatasystemet (TDS) och dess stödsystem

Tulldatabasen utgörs i huvudsak av Tullverkets elektroniska klarerings-, debiterings- och statistiksystem, det s.k. tulldatasystemet (TDS). Detta system består av ett expeditionssystem, i vilket ingår uppgifter om import, export, transit, initialkontroll, klarerade ärenden, lokal uppbörd och övrig debitering. Utöver TDS innehåller tulldatabasen även andra register och datorsystem, såsom t.ex. stödsystemet som består av tulltaxa (taric), operatörsregistret, gemensamma register och behörighetssystem. De övriga delsystemen består av central uppbörd, handelsstatistik, mottagningsfunktion och efterkontroll.

som registreras i systemet i syfte att under vissa omständigheter indikera Prop. 2004/05:164 anledning till övervakning eller kontrollåtgärd. En spärr kan beslutas som

en följd av en riskanalys eller utifrån särskilda operativa kontrollskäl, t.ex. tips. Beslut om spärr får fattas av riskanalyschefen i kompetenscenter Företag och, efter bemyndigande av riskanalyschefen, annan tjänsteman som arbetar med riskanalys inom processen Effektiv handel. En tulltjänsteman inom den brottsbekämpande verksamheten, processen Brottsbekämpning, kan således inte besluta om en spärr.

En spärr skall inte ges större omfattning än vad som är nödvändigt för att uppnå ändamålet med spärren. Den som har beslutat om en spärr skall övervaka den och när behov inte längre finns skall spärren omedelbart hävas. Beslut om att registrera en spärr skall föras in i ett särskilt register, Riskanalysregistret, med uppgift om bl.a. diarienummer, beslutande enhet inom Tullverket, beslutsfattare, spärrtyp och grunden för spärren. Vidare skall dokumentation upprättas över beslut som fattas när anledning till övervakning eller kontrollåtgärd har indikerats genom spärrutfall (Tullverkets föreskrifter och allmänna råd (TFS 1998:9) om spärrar i tulldatasystemet, senast ändrad genom TFS 2004:12).

Riskanalysregistret

Riskanalysregistret är ett register som Tullverket använder för analys av trender och liknande, vad avser avvikelser från gällande regelverk i det kommersiella varuflödet. Syftet är att analyserna skall ligga till grund för en riskprofil.

Riskanalysregistret innehåller uppgifter om utförda och pågående analyser riktade mot det arbete som utförs inom processen effektiv handel. Analyserna är främst inriktade mot uppbörd (tullar, skatter och avgifter) samt in- och utförselrestriktioner. I registret finns det dock även information om analyser inom andra områden, såsom varumärkesintrång och handelsstatistik.

I registret förekommer även uppgifter om vilka rekommendationer som föreslås med beaktande av analysresultatet. De åtgärder som kan komma ifråga är initialkontroll, efterkontroll, revision eller förebyggande åtgärd.

Tullverket har bedömt att analysverksamheten har behov av ett gemensamt ärendehanteringssystem som effektiviserar arbetet. En projektgrupp (RITA) har därför tagit fram ett modernt analyssystem för Tullverkets analysverksamhet, vilket skall bl.a. omfatta diariesystem och olika analysregister. RITA kommer i framtiden att ersätta dagens diarium, riskanalysregister och underrättelseregister.

6.2.3Behandling av personuppgifter i löpande text

Vid sidan av de register och datorsystem som beskrivits, använder sig Tullverket också av annan datorteknik i det brottsbekämpande arbetet, t.ex. ordbehandlings- och kalkylprogram som Word och Excel, vid framställning och bearbetning av dokument. Vidare använder man sig av e-post vid såväl intern som extern kommunikation.

44

Under senare tid har den gränsöverskridande brottsligheten till Sverige ökat samtidigt som den sker i mer organiserad och storskalig form. Det har bl.a. visat sig att Sverige fungerat som ett transitland både för cigarett- och spritsmuggling. Regering och riksdag har vid upprepade tillfällen understrukit vikten av ett väl fungerande samarbete mellan de brottsbekämpande myndigheterna och har vidtagit en rad åtgärder för att underlätta och förbättra det brottsbekämpande arbetet, t.ex. fastställande av en strategi för samordning av rättsväsendets informationsförsörjning (RIF).

I Tullverkets regleringsbrev för budgetåret 2005 anger regeringen som en särskilt angelägen uppgift att såväl nationellt som internationellt medverka i arbetet med att utveckla arbetsmetoder och samarbetsformer för att effektivare bekämpa gränsöverskridande brottslighet såsom narkotika-, sprit – och tobakssmuggling samt ekonomisk och organiserad brottslighet.

Inom ramen för EU-arbetet betonas vikten av utökat polisiärt och straffrättsligt samarbete för att effektivisera kampen mot den gränsöverskridande brottsligheten. Ett utökat informationsutbyte mellan medlemsstaterna krävs, varför arbete pågår för att skapa bättre möjligheter för elektroniskt utbyte av upplysningar mellan de brottsbekämpande myndigheterna i medlemsstaterna.

Det förekommer naturligtvis redan i dag informationsutbyte mellan de brottsbekämpande myndigheterna (se avsnitt 6.2.1.). Myndigheterna har t.ex., när sekretessregleringen möjliggör det, i viss omfattning tillgång till varandras databaser och register. I vissa fall kan uppgifterna nås genom att en myndighet har tillåtits ha direktåtkomst till en annan myndighets databaser. I andra fall får informationen inhämtas på begäran, muntligen eller skriftligen. Det kan ske genom att en tjänsteman på en myndighet tar direkt kontakt med en tjänsteman på den andra myndigheten eller genom att tjänstemännen använder sig av en sambandsman. Vid gränskontrollmyndigheternas maritima underrättelsecentrum (MUC) är personal från Tullverket, Polisen och Kustbevakningen samlokaliserade. Tullverket har dessutom internationella sambandsmän på olika platser i Europa.

Vidare har Tullverket tillgång till information från organisationer, företag och liknande, t.ex. svenska och utländska bolagsregister, sjöfartsregister och transportföretag. Inom EU har det upprättats olika system för att utväxla information mellan medlemsländerna angående t.ex. misstänkta transporter.

Det har i olika sammanhang framförts att det finns ett behov av ett mer utvecklat samarbete och informationsutbyte mellan Tullverket och andra brottsbekämpande myndigheter. Denna fråga behandlas närmare i avsnitt 10.

45

7.1Behovet av ny lagstiftning

Regeringens förslag: En ny lagstiftning införs som helt ersätter den gällande lagstiftningen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslagen eller

har inga invändningar mot förslagen. Uppsala universitet anser att man bör avvakta utformandet av nya speciallagar med hänsyn till att personuppgiftslagen är föremål för översyn.

Skälen för regeringens förslag: Dagens lagstiftning om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppfyller inte på ett tillfredsställande sätt de krav som Tullverkets verksamhet ställer på automatiserad behandling av uppgifter. Tullverket har bl.a. behov av att kunna behandla spaningsuppgifter i skilda register på ett mer funktionellt sätt samt behandla upprättade och inkomna elektroniska handlingar i datoriserade ärendehanteringssystem. Dagens lagstiftning är inte anpassad efter en sådan automatiserad behandling av uppgifter. Vidare kan det konstateras att det finns ett antal andra problem med dagens lagstiftning, som t.ex. att det i lag definierade begreppet underrättelseverksamhet vållar gränsdragningsproblem och att information om mindre allvarlig brottslighet som utförs systematiskt inte kan behandlas automatiserat i särskilda undersökningar. Det utgör också ett effektivitetsproblem inom den brottsbekämpande verksamheten att direktåtkomst inte medges till TDS och andra fiskala register som förs inom Tullverket (se avsnitt 14). Det finns dessutom ett stort behov av utökat informationsutbyte på elektronisk väg med andra brottsbekämpande myndigheter (se avsnitt 6 och 10). Sammantaget krävs det så omfattande förändringar av den aktuella lagstiftningen att det framstår som mest ändamålsenligt att ersätta den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet med en helt ny lagstiftning.

7.2Förhållandet till personuppgiftslagen

Regeringens förslag: Den föreslagna lagen skall gälla i stället för personuppgiftslagen. Bestämmelserna i personuppgiftslagen skall vara tillämpliga endast när det särskilt anges genom hänvisningar.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser, bl.a. JK och JO,

tillstyrker förslaget eller har inga invändningar mot förslaget. Helsingborgs tingsrätt avstyrker emellertid den föreslagna lagstiftningsmetoden. Kustbevakningen förordar en lösning där de tillämpliga bestämmelserna i personuppgiftslagen upprepas i den föreslagna lagen.

46

utan vägledning när det gäller tolkningen av vilka bestämmelser i Prop. 2004/05:164 personuppgiftslagen som är tillämpliga.

Metoden har emellertid fått kritik av Lagrådet, som bl.a. ansåg att lagstiftningstekniken var riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet till fullo blir genomfört i registerlagarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga (prop. 2000/01:33 s. 345 f.). Helsingborgs tingsrätt instämmer i denna kritik och avstyrker den föreslagna lagstiftningsmodellen. Tingsrätten anser att det i stället bör anges att personuppgiftslagen gäller vid behandling av personuppgifter i verksamheten, om inte annat följer av den föreslagna lagen eller föreskrifter som meddelats med stöd av denna eller annars med stöd av 2 § personuppgiftslagen. Genom den sistnämnda hänvisningen till 2 § personuppgiftslagen klargörs enligt tingsrätten dessutom att från personuppgiftslagen avvikande bestämmelser i lag eller förordning är tillämpliga även vid behandling enligt den nya lagen.

Den föreslagna tekniken används i dag i regleringen av Tullverkets fiskala verksamhet medan den nuvarande lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet gäller utöver personuppgiftslagen. Tullverket har påtalat tillämpningssvårigheterna beträffande den sistnämnda lagen samt att diskrepansen mellan de båda lagarna medför osäkerhet vid tillämpningen och risk för att skyddet för den personliga integriteten inte upprätthålls på ett tillfredsställande sätt. Regeringen menar att det finns ett inte obetydligt värde i att använda samma typ av lagstiftningsteknik för behandling av personuppgifter i myndighetens hela verksamhet, utom den rent administrativa verksamhet som i princip regleras av enbart personuppgiftslagen. Risken att inte kunna överblicka att dataskyddsdirektivet till fullo blir genomfört gör sig dessutom i princip inte gällande på det nu aktuella ärendet eftersom Tullverkets brottsbekämpande verksamhet delvis ligger utanför direktivets tillämpningsområde (jfr 5.1.5). Det föreslås därför att den nya lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet skall gälla i stället för personuppgiftslagen.

7.3Tillämpliga bestämmelser i personuppgiftslagen

Regeringens förslag: Personuppgiftslagens bestämmelser om

–definitioner,

–förhållandet till offentlighetsprincipen m.m.,

–grundläggande krav på behandling,

–information till den registrerade,

–rättelse,

–säkerheten vid behandling,

–personuppgiftsombud m.m.,

–upplysningar till allmänheten om vissa behandlingar,

–tillsynsmyndighetens befogenheter och

–skadestånd

skall vara tillämpliga vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

48

grundläggande krav som ställs på en personuppgiftsansvarig. Dessa krav Prop. 2004/05:164 bör naturligtvis tillämpas även inom särskilt reglerad myndighetsverksamhet. Hänvisning bör här göras till första stycket a, b

och e–h.

I 9 § första stycket c) och d) anges att personuppgifter får samlas in bara för särskilda, uttryckliga angivna ändamål samt att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Enligt paragrafens andra stycke gäller dock att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål generellt inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I den föreslagna lagen finns angivet för vilka primära och sekundära ändamål uppgifter får behandlas, samt att dessa ändamålsbestämmelser är uttömmande. Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till annan. Vidare gäller grundlags allmänna företräde framför vanlig lag i fråga om myndighetens skyldighet att lämna ut allmänna handlingar enligt 2 kap. tryckfrihetsförordningen. Lagstiftaren har härmed gjort en bedömning av vilka ändamål som skall anses vara förenliga med de för vilka uppgifterna samlades in. Någon hänvisning till personuppgiftslagens bestämmelser skall därför inte göras i dessa fall.

I 9 § första stycket i) och tredje stycket finns bestämmelser om hur länge uppgifter får bevaras. Enligt regeringens mening bör emellertid särskilda bestämmelser om gallring tas in i den nya författningen. Någon hänvisning till personuppgiftslagen bestämmelser om hur länge uppgifter får bevaras skall därför inte heller göras.

Behandling av personnummer och samordningsnummer (22 §)

Enligt 22 § personuppgiftslagen får uppgifter om personnummer eller samordningsnummer behandlas endast efter samtycke från den registrerade eller om det är klart motiverat med hänsyn till behandlingens ändamål, vikten av en säker identifiering eller något annat beaktansvärt skäl. Samordningsnummer tilldelas personer som inte är eller har varit folkbokförda i Sverige, bl.a. för beskattningsändamål.

För behandling i brottsbekämpande verksamhet måste person- eller samordningsnummer av rättssäkerhetsskäl ofta användas för att eliminera risken för fel vid registrering av personuppgifter och i handläggningen av ärenden.

Vid behandling av personuppgifter i en gemensam databas är det i de flesta fall nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. För sådan behandling bör det därför uttryckligen anges i den föreslagna lagstiftningen att uppgifter om en persons identitet får användas, bl.a. personnummer. Hänvisningen till personuppgiftslagens bestämmelse får därför praktisk tillämpning endast i fråga om behandling som inte utförs i den särskilt reglerade tullbrottsdatabasen, dvs. vid vanlig ordbehandling, hantering av e-post och användandet av begränsade projektregister m.m. Även i de fallen torde det dock ofta vara motiverat att använda personnummer för att säkerställa de berörda parternas identitet. Personnummer bör emellertid

50

inte användas slentrianmässigt när risk inte föreligger för förväxling Prop. 2004/05:164 mellan personer eller när andra beaktansvärda skäl saknas.

Information till den registrerade (23 och 25–27 §§)

Personuppgiftslagens bestämmelser om information som skall lämnas självmant till den registrerade när uppgifter har samlats in från personen själv och om information som skall lämnas efter ansökan av den registrerade (23 och 25–27 §§), skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant skall informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som skall lämnas är enligt 25 § samma lag uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall också enligt 26 § personuppgiftslagen lämnas på begäran av den registrerade. Om uppgifter behandlas skall information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information efter begäran av en registrerad gäller vissa särskilda bestämmelser.

Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade.

24 § första stycket personuppgiftslagen föreskriver att den personuppgiftsansvarige självmant skall lämna information till den registrerade om uppgifterna har samlats in från någon annan källa än den registrerade. Av paragrafens andra stycke följer emellertid att sådan information inte behöver lämnas om det finns bestämmelser om registrerande eller utlämnande av personuppgifterna i en lag eller någon annan författning. Eftersom den här föreslagna lagen innehåller sådana bestämmelser behöver någon hänvisning till 24 § personuppgiftslagen inte göras.

Rättelse (28 §)

Bestämmelsen i 28 § personuppgiftslagen om rättelse anger att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagen. När en personuppgiftsansvarig vidtar rättelse i fråga om en personuppgift skall underrättelse lämnas till tredje

man som har fått del av uppgiften, om den registrerade begär det eller om

51

mer betydande skada eller olägenhet därigenom kan undvikas. Sådan Prop. 2004/05:164 underrättelse behöver dock inte lämnas om det visar sig vara omöjligt

eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Det är av väsentlig betydelse att personuppgifter som behandlas felaktigt hos en myndighet rättas för att intrång i den personliga integriteten skall undvikas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Tullverket. Det föreslås därför att bestämmelsen om rättelse i 28 § personuppgiftslagen skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Hänvisningen innebär att rättelse enligt bestämmelsen skall ske om personuppgifterna inte har behandlats i enlighet med de bestämmelser i personuppgiftslagen som skall tillämpas eller i enlighet med de bestämmelser som finns i den föreslagna lagen.

Säkerheten vid behandling (30–32 §§)

I 30–32 §§ personuppgiftslagen finns regler om hur den personuppgiftsansvarige skall organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser skall vara tillämpliga i Tullverkets brottsbekämpande verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Detta är inte minst viktigt i fråga om behandling av uppgifter i tullbrottsdatabasen, där det exempelvis kan behövas såväl tekniska lösningar för datorsystemen som olika behörighetsnivåer för personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas. Det är också viktigt att särskilda rutiner införs för behandling av personuppgifter i exempelvis underrättelseprojekt som inte omfattas av de i många fall mer restriktiva bestämmelserna för tullbrottsdatabasen.

Överföring av personuppgifter till tredje land (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Regeringen kan dock enligt 35 § föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

För att kunna uppfylla de åtaganden som Sverige gjort genom olika internationella överenskommelser måste utbyte av uppgifter var möjligt även med länder utanför EU. Utbyte av uppgifter inom ramen för det internationella samarbetet på tullområdet sker med stöd av lagen (2000:1219) om internationellt tullsamarbete. I den tillhörande

52

förordningen (2000:1222) finns en bestämmelse om undantag från 33 § Prop. 2004/05:164 personuppgiftslagen som medger att uppgifter överförs till tredje land.

I den föreslagna lagens ändamålsbestämmelser ingår att uppgifter får behandlas för att fullgöra det arbete som åligger Tullverket enligt lagen om internationellt tullsamarbete. Med hänsyn till att bestämmelserna om överförande av uppgifter till tredje land regleras i den lagstiftningen, finns det enligt regeringens mening inte skäl att också i den föreslagna lagen ta in sådana bestämmelser genom hänvisning till personuppgiftslagen. I enligt därmed saknas behov av en hänvisning till 12 § första stycket avseende återkallande av samtycke.

ansvariga. Enligt 43 § personuppgiftslagen har Datainspektionen Prop. 2004/05:164 möjlighet att på begäran få tillgång till personuppgifter, upplysningar och

dokumentation om behandlingen och säkerheten samt tillträde till lokaler. I likhet med utredningen anser regeringen att denna bestämmelse i personuppgiftslagen bör vara tillämplig även när den personuppgiftsansvarige är en myndighet.

Däremot bör det inte vara möjligt för Datainspektionen att vid vite förbjuda en personuppgiftsansvarig statlig myndighet att behandla personuppgifter, eftersom vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndigheter. Hänvisning behöver därför inte göras till bestämmelserna om vite i 44 och 46 §§ personuppgiftslagen. Däremot bör en hänvisning göras till 45 § första stycket första meningen, i vilken det anges att Datainspektionen om den konstaterar att personuppgifter behandlas felaktigt skall försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt skall utplånas. Bestämmelsen har sin grund i dataskyddsdirektivets artikel 28.3, där det anges att varje nationell tillsynsmyndighet skall ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. I likhet med utredningen anser regeringen att bestämmelsen bör vara tillämplig vid behandling av uppgift enligt den föreslagna lagen.

Skadestånd (48 §)

Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Rätten till skadestånd bör finnas även för skada och kränkning som uppstår när uppgifter behandlas i strid med de särskilda bestämmelserna i förslaget till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Det förslås därför att bestämmelserna om skadestånd i 48 § personuppgiftslagen skall tillämpas på motsvarande sätt när personuppgifter behandlas i strid med den lag som reglerar behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Hänvisningen innebär att skadestånd enligt bestämmelsen skall betalas om personuppgifterna inte har behandlats i enlighet med de bestämmelser i personuppgiftslagen som skall tillämpas eller i enlighet med de bestämmelser som finns i den föreslagna lagen.

I likhet med vad som gäller de rättsliga möjligheterna att få information eller att få uppgifter rättade, gäller rätten till skadestånd endast fysiska personer. En juridisk person får i stället i den ordning som gäller för statlig verksamhet i allmänhet vända sig till Justitiekanslern eller till allmän domstol om personen anser att behandling av uppgifter vid Tullverket har vållat skada.

54

Straff (49 §) Prop. 2004/05:164

Paragrafen föreskriver ansvar för överträdelser av olika bestämmelser i personuppgiftslagen. Lagrådet har i tidigare lagstiftningsärende (prop. 2000/01:33 s. 346) ansett att bestämmelsen enligt legalitetsprincipen inte kan ges motsvarande tillämpning beträffande överträdelser av bestämmelser i den föreslagna särlagstiftningen. Hänvisningen till 49 § personuppgiftslagen kan därför endast få den innebörden att ansvar inträder i händelse av överträdelser av de paragrafer i personuppgiftslagen som i övrigt skall gälla och som är straffsanktionerade.

Med hänsyn till att bl.a. behandling av känsliga personuppgifter särskilt regleras i den föreslagna lagstiftningen och då personuppgiftslagens bestämmelser om överförande av personuppgifter till tredje land inte skall vara tillämpliga, kommer straffbestämmelsen att urholkas eftersom den blir tillämplig endast i ett fåtal fall. Regeringen anser därför att det inte föreligger något behov av en hänvisning till 49 § personuppgiftslagen. Det finns heller inget behov av att införa separata straffbestämmelser i den föreslagna lagen (jfr 2000/01:33 s. 97).

7.4 Lagens tillämpningsområde

Regeringens förslag: Lagen skall tillämpas i Tullverkets brottsbekämpande verksamhet vid helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (manuella register).

Förutom fysiska personer skall även juridiska personer i vissa fall omfattas av lagen.

Utredningens förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inga invändningar mot förslaget.

Skälen för regeringens förslag: Som framgick av avsnitt 5.1.5 är dataskyddsdirektivet inte tillämpligt på sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet på straffrättens område. Utgångspunkten för lagens tillämpningsområde är dock att lagen inte skall strida mot de grundläggande och bindande principerna i dataskyddsdirektivet, även om det i vissa avseenden skulle vara EG- rättsligt möjligt.

För att uppfylla dataskyddsdirektivets krav måste författningarna för Tullverket omfatta samma grundläggande behandling som personuppgiftslagen, dvs. helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (manuella register).

Personuppgiftslagen gäller emellertid endast vid behandling av personuppgifter, dvs. all slags information som direkt eller indirekt kan

hänföras till en fysisk person som är i livet. Det innebär att behandling av

55

uppgifter om juridiska personer inte alls omfattas av lagen. Tullverket Prop. 2004/05:164 behandlar stora mängder uppgifter som rör andra än fysiska personer,

t.ex. företag, myndigheter och andra organisationer som förekommer i ärenden. Dessa kategorier av juridiska personer har av naturliga skäl inte samma behov av integritetsskydd som fysiska personer. Med hänsyn till att det i den elektroniska hanteringen kan vara svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare finns det dock ändå skäl att här låta även juridiska personer omfattas av de bestämmelser i lagen som anger ändamålet med och ansvaret för behandlingen samt som reglerar hur länge uppgifter får bevaras. När uppgifter behandlas i gemensamma datasystem skall även bestämmelser om innehåll samt utlämnande av, åtkomst till och sökning efter uppgifter och handlingar omfatta juridiska personer (se avsnitt 8).

Den nya lagen skall bara gälla i Tullverkets brottsbekämpande verksamhet. När det gäller den interna administrativa förvaltningen, t.ex. lokal- och personalfrågor, finns det inte skäl att frångå personuppgiftslagens regler och den nya lagen omfattar inte heller behandling av personuppgifter för sådana administrativa ändamål. För behandling av uppgifter som rör administrativa frågor skall alltså personuppgiftslagen tillämpas fullt ut. För den fiskala verksamheten inom Tullverket finns särskilda bestämmelser i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och det måste anses som mest ändamålsenligt om dessa bestämmelser även fortsättningsvis finns samlade i en egen lag. Där anges avseende lagens tillämpningsområde att bestämmelserna inte gäller behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver.

När det gäller direktåtkomst till tulldatabasen omfattas varje form av sådan direktåtkomst av lagen. Även sådan direktåtkomst som innebär att någon tar del av uppgifterna på skärmen omfattas härmed. Förutsättningarna för tulldatabasen regleras i lagen om behandling av uppgifter i Tullverkets verksamhet. Frågan om direktåtkomst till tulldatabasen behandlas vidare i avsnitt 14.

7.5Utformningen av lagstiftningen

Regeringens förslag: De grundläggande principerna för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall regleras i lag. Kompletterande bestämmelser skall meddelas av regeringen eller den myndighet som regeringen bestämmer.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna tillstyrker eller har inga invändningar mot

förslaget.

Skälen för regeringens förslag: I Tullverkets brottsbekämpande verksamhet behandlas stora mängder uppgifter om enskilda personer i olika register eller datorsystem, vilka i många fall kan vara mycket känsliga. Det är därför viktigt att dessa uppgifter behandlas på ett sådant sätt att vederbörlig hänsyn tas till misstänktas och andra inblandades personliga integritet.

56

Frågor om regleringen av personregister har behandlats av Prop. 2004/05:164 Konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett

stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48), en uppfattning som även regeringen har gett uttryck för i tidigare

De bestämmelser som bör framgå av lag är främst sådana som anger för vilka ändamål personuppgifter får behandlas, vilka uppgiftskategorier som får behandlas, i vilken omfattning uppgifter skall få lämnas ut i elektronisk form, när uppgifter skall gallras samt vilka rättigheter enskilda har. I vissa fall bör sådana bestämmelser vara ovillkorliga, medan regeringen i andra fall bör kunna medge undantag. Regeringen bör dessutom kunna meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen. Det kan i vissa fall vara lämpligt att regeringen delegerar rätten att meddela kompletterande föreskrifter av mer formell natur till Tullverket eller Riksarkivet.

Såsom redovisats tidigare (se avsnitt 6) finns det i dag ett större rikstäckande register som används i Tullverkets brottsbekämpande verksamhet, det s.k. underrättelseregistret, som i dag är reglerat i lag. I den föreslagna lagen har det tagits in grundläggande och allmängiltiga bestämmelser under vilka förutsättningar och för vilka ändamål Tullverket över huvud taget får registrera personer som inte är misstänkta för något brott eller för att bedriva brottslig verksamhet och i vilka fall sådana misstankar får registreras. I den föreslagna lagen finns även grundläggande bestämmelser om bl.a. förutsättningarna för att registrera känsliga personuppgifter och för att söka bland uppgifterna. Enligt regeringens mening uppfyller dessa bestämmelser kravet på en särskild lagreglering av registerföringen, även om de olika register som används i verksamheten inte direkt omnämns i lagen och även om lagen i fråga om detaljer överlåter regleringen år regeringen. Med hänsyn till den tekniska och organisatoriska utvecklingen ändras ofta detaljerna i fråga om de olika register som finns, varför det är mindre ändamålsenligt att i lag befästa en viss registerstruktur. Regeringen avser att i förordning meddela föreskrifter om de större register som används och därvid reglera bl.a. ändamålen för registren samt vilka uppgifter registren får innehålla. Regeringen avser vidare att i förordning ta in bestämmelser för att Tullverket, efter samråd med Datainspektionen, skall utfärda de närmare föreskrifter som behövs för verkställighet av lagen, bl.a. vad avser åtkomst till uppgifter.

En fråga som knyter an till personuppgiftsansvaret är arkivansvaret enligt arkivlagen (1990:782). Enligt huvudregeln i 4 § arkivlagen har en myndighet arkivansvar för de allmänna handlingar som finns hos myndigheten. Generellt är det lämpligt att arkivansvaret för elektroniska uppgifter och handlingar så långt det är möjligt sammanfaller med personuppgiftsansvaret. I fråga om register och databaser för vilka flera olika myndigheter är personuppgiftsansvariga kan det uppstå problem, eftersom arkivansvaret bör ligga hos en och samma myndighet eller i vart fall hos de personuppgiftsansvariga myndigheter som för in uppgifter i registren eller databaserna. När det gäller Tullverket torde sådana problem inte uppstå, eftersom verket ensamt är personuppgiftsansvarigt för den behandling som utförs i dess register och databaser och därmed rimligen också arkivansvarig myndighet för de allmänna handlingar som behandlas elektroniskt i datasystemen.

7.7Författningsstruktur

Regeringens bedömning: Den nya lagens struktur bör så långt möjligt motsvara strukturen i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, för att åstadkomma enhetlighet i Tullverkets författningar på detta område.

Utredningens bedömning överensstämmer delvis med regeringens. Remissinstanserna tillstyrker förslaget eller har ingen erinran.

Skälen för regeringens bedömning: Det finns ingen enhetlig systematik bland de författningar för behandling av personuppgifter som i dag gäller inom skilda myndighetsområden. Den valda författningsstrukturen för Tullverkets brottsbekämpande verksamhet stämmer så långt möjligt överens med den som tillämpas i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, dvs. den lag som gäller för den fiskala verksamheten.

Regeringen anser emellertid att det inom den brottsbekämpande verksamheten i högre grad än den fiskala finns behov av bestämmelser som är generellt tillämpliga på all behandling av uppgifter. Av denna anledning har den av utredningen föreslagna kapitelindelningen av lagen frångåtts, vilket innebär att flertalet bestämmelser blir generellt tillämpliga på alla typer av uppgiftsbehandling. Vissa tillkommande regler gäller emellertid endast för den särskilda form av automatiserad behandling av uppgifter och handlingar som utförs i en databas för gemensam användning i verksamheten, den s.k. tullbrottsdatabasen (se vidare avsnitt 8). Regeringen delar således inte utredningens bedömning att den behandling av uppgifter som faller utanför tullbrottsdatabasen endast kan omgärdas av ett enklare regelverk medan lagstiftningens fokus ligger på regleringen av uppgiftsbehandling inom ramen för tullbrottsdatabasen. Syftet är att åstadkomma en bättre balans mellan de olika typerna av behandling för att skapa ett bättre skydd för den enskildes personliga integritet.

59

8.1Tullbrottsdatabasen

Regeringens förslag: Det skall i Tullverkets brottsbekämpande verksamhet finnas en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten, den s.k. tullbrottsdatabasen.

Åtkomsten till tullbrottsdatabasen skall begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslog ingen begränsning av åtkomsten till databasen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget att ha regler om en tullbrottsdatabas eller har inga invändningar mot förslaget. Helsingborgs tingsrätt och Datainspektionen ställer sig emellertid negativa till förslaget om inrättande av en tullbrottsdatabas.

Skälen för regeringens förslag

Begreppet databas

I och med genomförandet av dataskyddsdirektivet i svensk lagstiftning har de rättsliga begreppen vid datoranvändning förändrats. I personuppgiftslagen (1998:204) talas det inte längre om förande av personregister som i den tidigare datalagen, utan om behandling av personuppgifter. Det traditionella registerbegreppet har kritiserats vid flera tillfällen, främst eftersom det för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter, vilket inte längre är ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Även framväxten av Internet har tydliggjort behovet av en översyn av traditionella begrepp vid databehandling, som t.ex. registerbegreppet.

Det finns dock flera elektroniska samlingar av personuppgifter som fortfarande måste ses som register i ordets egentliga bemärkelse, där uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord. Det kan därför finnas anledning att inte helt frångå registerbegreppet. Som exempel kan nämnas lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister som reglerar register i en mer traditionell mening. Regeringen anser dock att registerbegreppet inte är lämpligt när det gäller datorsystem som innefattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av registerkaraktär.

Ett alternativ till registerbegreppet är termen databas, som bl.a. förekommer i olika sammanhang, bl.a. i lagen (2001:185) om behandling av uppgifter i Tullverkets fiskala verksamhet. En databas skall definieras som en samling uppgifter som med hjälp av automatiserad behandling

används gemensamt inom en verksamhet. En sådan definition av

60

syfte, kan uppgifterna inte anses gemensamt använda inom Tullverket. Prop. 2004/05:164 Om uppgifterna däremot behandlas i ett för myndigheten gemensamt

system och åtkomsten till uppgifterna inte är begränsad till projektgruppen utan även andra tjänstemän kan ta del av dem för olika syften, måste behandlingen anses ske inom ramen för databasen.

Datainspektionen anser att ett förtydligande vore önskvärt av hur många personer som skall vara inblandade för att det skall anses utgöra gemensam behandling. Regeringen anser att det inte är möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skall anses ske i tullbrottsdatabasen. Inte minst beror detta på att det inte är möjligt att förutse den tekniska utvecklingen inom datorområdet och de möjligheter som kan komma att öppna sig i fråga om informationsöverföring. Det måste således avgöras från fall till fall om uppgifter som behandlas automatiserat är gemensamma eller inte.

En definition av begreppet databas som den föreslagna utesluter manuella register och gör det möjligt att särskilja tillfälliga behandlingar av personuppgifter i en dator från behandlingar i databaser som är särskilt reglerade avseende innehåll och användning. Definitionen har även den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad.

8.2Tillåtna ändamål för behandling av uppgifter

Regeringens förslag: Tydliga och konkreta ändamål för behandling av personuppgifter och andra uppgifter skall anges i lag. Uppgifter skall primärt få behandlas när det är behövs för att

–förhindra eller upptäcka brottslig verksamhet,

–utreda eller beivra brott, eller

–fullgöra internationellt tullsamarbete.

Som ett sekundärt ändamål får uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även behandlas för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos andra brottsbekämpande myndigheter.

Uppgifter får inte behandlas för några andra ändamål än de som uttryckligen anges i lagen. Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra.

Utredningens förslag överensstämmer i huvudsak med regeringens förslag. Förslaget gjorde ingen åtskillnad mellan primära och sekundära ändamål och innehöll ingen uttrycklig begränsning till de i lag angivna ändamålen. Förslaget behandlade inte heller frågan om uppgiftsskyldighet.

Remissinstanserna: De flesta remissinstanserna har inga invändningar mot förslaget. Helsingborgs tingsrätt påpekar att den gemensamma regleringen av all behandling av personuppgifter i tullbrottsdatabasen innebär att ändamålen blir väldigt allmänt hållna samt ifrågasätter om inte ändamålen är mer preciserade och konkreta i den nuvarande

63

lagstiftningen. Brottsförebyggande rådet anser att de brottsförebyggande Prop. 2004/05:164 aspekterna bättre och tydligare bör tillgodoses.

Skälen för regeringens förslag

Behandling av uppgifter för skilda ändamål

Enligt artikel 6.1 a i dataskyddsdirektivet och 9 § personuppgiftslagen får personuppgifter samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får senare inte behandlas för något ändamål som är oförenligt med de ändamål för vilka uppgifterna samlades in. För sambearbetning ställs det särskilt höga krav på att ändamålsbestämmelserna i de författningar som reglerar behandling av personuppgifter i myndighetsverksamhet är utformade på ett sådant sätt att det klart framgår för vilka syften uppgifter får behandlas.

Tullverket bör i den brottsbekämpande verksamheten få behandla uppgifter för tre olika primära ändamål – när det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott samt för att fullgöra internationellt tullsamarbete. Det bör dessutom som ett sekundärt ändamål anges att uppgifter får behandlas för att förse andra brottsbekämpande myndigheter med information. Med behandling avses insamling, registrering, utlämning och behandling av uppgifter i övrigt.

Som tidigare nämnts (se avsnitt 7) är den automatiserade behandlingen av personuppgifter inom ramen för Tullverkets brottsbekämpande verksamhet av sådan karaktär och omfattning att de grundläggande principerna för behandlingen skall regleras i lag. Häri ingår bl.a. de bestämmelser som anger för vilka ändamål personuppgifter får behandlas.

I Tullverkets brottsbekämpande verksamhet får uppgifter inte behandlas för några andra än de i lagen angivna primära och sekundära ändamålen. Med hänsyn till grundlags allmänna företräde framför vanlig lag och då 8 § första stycket personuppgiftslagen skall vara tillämplig, är behandling även tillåten om det är nödvändigt enligt grundlag, t.ex. för att uppfylla offentlighetsprincipen enligt 2 kap. TF. Uppgifter får även lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till annan. Med annan avses såväl myndighet som enskild.

Förutom att en tilltänkt behandling måste falla in under den grundläggande bestämmelsen om de tillåtna ändamålen för behandlingen, måste de särskilda krav som anges i andra bestämmelser i den föreslagna lagen också vara uppfyllda. I avsnitt 8.5, 8.6 och 8.7 berörs t.ex. ytterligare förutsättningar som måste vara uppfyllda för att uppgifter skall få behandlas för respektive ändamål.

Förhindra eller upptäcka brottslig verksamhet

En viktig del av Tullverkets brottsbekämpande arbete är att upptäcka och förhindra brottslig verksamhet avseende brott som Tullverket har befogenhet att ingripa mot. I begreppet ligger att det inte är fråga om ett

konkret begånget brott, utan i stället att avslöja om viss brottslighet har

64

Avgörande för om en viss behandling faller in under det angivna Prop. 2004/05:164 ändamålet är om åtgärderna sker med anledning av att ett konkret brott

har eller misstänks ha begåtts. Det saknar alltså betydelse om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form. Om det däremot finns misstankar endast om pågående brottslig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, får uppgifter i stället behandlas med stöd av ändamålet att upptäcka eller förhindra brottslig verksamhet.

Fullgöra internationellt tullsamarbete

Mycket av arbetet inom Tullverket har internationell anknytning. I många fall är det svårt eller närmast omöjligt att förutse vilka uppgifter som kommer att åligga Tullverket, inte minst inom ramen för EU- samarbetet. Att i lag definiera ett ändamål som garanterar att Tullverket kan behandla de uppgifter i internationella sammanhang som krävs för att Sveriges åtaganden skall kunna fullgöras låter sig därför inte göras på ett enkelt och kortfattat sätt. Lagen (2000:1219) om internationellt tullsamarbete är emellertid generellt tillämplig på sådant internationellt samarbete på tullområdet som följer av internationella överenskommelser med en annan stat eller mellanfolklig organisation och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Det kan inte anses lämpligt att med en ändamålsbestämmelse i en lag om behandling av personuppgifter riskera att begränsa Tullverkets möjligheter att fullgöra det arbete som riksdagen i en annan lag har ålagt verket. Det är därför både enkelt och lämpligt att direkt hänvisa till lagen om internationellt tullsamarbete i fråga om behandling av personuppgifter i det internationella arbetet.

Denna ändamålsbestämmelse kan således beskrivas som en uppsamlingsregel och möjliggör behandling av uppgifter så att Sverige kan fullgöra sina åtaganden i enlighet med internationella överenskommelser med en annan stat eller mellanfolklig organisation som omfattas av lagen om internationellt tullsamarbete.

Planera, följa upp och utvärdera verksamheten

Inom ramen för de tidigare nämnda ändamålen får uppgifter också behandlas om det behövs för den administrativa interna tillsynen, kontrollen och uppföljningen m.m. av den brottsbekämpande verksamheten inom Tullverket.

Lagrådet har påpekat att detta måste anses vara en integrerad del av själva verksamheten och inte kan ses som någon från denna fristående aktivitet. Att uppgifter som får användas i verksamheten också får användas för planering m.m. framstår därför enligt Lagrådet som så självklart att det inte behöver sägas. Lagrådet förordar därför att den särskilda bestämmelsen om planering, uppföljning och utvärdering av verksamheten utgår. Regeringen delar Lagrådets bedömning.

Det innebär att Tullverket har möjlighet att behandla befintliga

uppgifter för att utveckla organisationen och de former som den bedrivs i

66

samt planera för åtgärder som behöver vidtas för att t.ex. effektivisera Prop. 2004/05:164 handläggning och annan verksamhet.

Tillhandahållande av information för brottsbekämpande verksamhet hos andra myndigheter

Tullverket samarbetar ofta med andra brottsbekämpande myndigheter och ett viktigt led i detta samarbete är informationsutbyte. Utbytet av uppgifter bör i betydligt större omfattning än i dag kunna ske med användning av modern teknik.

Som sekundärt ändamål bör därför uttryckligen anges att de uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet med stöd av de primära ändamålen får användas för att tillhandahålla information som andra brottsbekämpandemyndigheter behöver i sin författningsreglerade brottsbekämpande verksamhet. De myndigheter som för närvarande kan komma ifråga är Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Åklagarmyndigheten, Skatteverket och Kustbevakningen.

8.3Behandling av känsliga personuppgifter

Regeringens förslag: Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv, s.k. känsliga personuppgifter.

Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende skall dock alltid utformas på ett objektivt sätt med respekt för människovärdet.

Känsliga personuppgifter får dessutom behandlas om de förekommer i ett ärende i en handling som kommit in till Tullverket.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Flertalet remissinstanser har inget att erinra mot

förslaget. Diskrimineringsombudsmannen avstyrker förslaget såvitt gäller möjligheten att behandla känsliga personuppgifter tillsammans med andra personuppgifter.

Skälen för regeringens förslag: Vid behandling av personuppgifter intar känsliga personuppgifter en särställning. Av personuppgiftslagen framgår att det i princip är förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det i författning särskilda bestämmelser för i vilka fall det får göras. Tullverket bör enligt regeringens mening ha samma möjligheter som i dag att registrera och på

67

annat sätt behandla sådana uppgifter i den brottsbekämpande Prop. 2004/05:164 verksamheten.

Regeringen föreslår därför att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär exempelvis att det inte är tillåtet att i underrättelseverksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.

Om uppgifter om en person däremot behandlas på annan grund måste de få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Som exempel kan nämnas att en person är aktuell i en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i förundersökningen kompletteras med känsliga personuppgifter, exempelvis om den misstänktes hälsotillstånd. Känsliga personuppgifter kan även få behandlas i underrättelse- och gränskontrollverksamheten. Om Tullverket får ett tips från allmänheten om en person som troligen smugglar narkotika, måste anteckningar naturligtvis få göras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, exempelvis fysiska kännetecken som rör hälsa och etniskt ursprung. Även i den informationsbearbetning som äger rum i underrättelseverksamheten måste det vara tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund är misstänkta för att bedriva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.

Bestämmelsen om känsliga personuppgifter bör gälla för såväl behandling i tullbrottsdatabasen som för annan behandling. Det bör inte heller spela någon roll för vilka ändamål uppgifterna behandlas. De i lag angivna kategorierna av uppgifter som skall få behandlas i tullbrottsdatabasen inskränker dock ytterligare möjligheten att behandla denna typ av personuppgifter i databasen (jfr avsnitt 8.9). Vad gäller behandling av inkomna elektroniska handlingar bör det emellertid finnas ett undantag från begränsningen, eftersom Tullverket inte har möjlighet att påverka innehållet i dessa handlingar.

Diskrimineringsombudsmannen menar att om känsliga personuppgifter som ras och etniskt ursprung får behandlas tillsammans med andra personuppgifter finns det en stor risk att en persons utseende och förmodade etniska ursprung blir avgörande för vem kontrollerna riktas mot. Det kan enligt Diskrimineringsombudsmannen aldrig vara absolut nödvändigt att kunna anteckna etniskt ursprung i syfte att identifiera personer. Ras i social mening och etniskt ursprung är inget som betraktaren kan avgöra. Ras i biologisk mening saknar helt betydelse eftersom det bara finns en ras, människorasen. Det kan inte uteslutas att Tullverkets bedömning i vissa ärenden bygger på en persons utseende och därmed även förmodade etniska ursprung, vilket enligt Diskrimineringsombudsmannen inte kan anses stämma överens med individens rätt till likabehandling oavsett etnisk tillhörighet (RF 2 kap. 15 § och 16 kap. 9 § brottsbalken).

68

Kategorierna av vad som anses utgöra känsliga personuppgifter finns Prop. 2004/05:164 angivna i personuppgiftslagen, vari ingår bl.a. ras och etniskt ursprung.

Kategorierna härrör i sin tur från Europarådets dataskyddskonvention och dataskyddsdirektivet. Personuppgiftslagen innehåller vidare en rad undantag från det principiella förbudet att behandla känsliga personuppgifter. Av punkt 2.5 i Europarådets rekommendation No. R(87)15 om användning av personuppgifter inom polissektorn anges att sådana känsliga uppgifter om en person inte får föras in i register om det inte är absolut nödvändigt. Regeringen anser att Tullverket undantagsvis kan ha ett befogat intresse av att kunna anteckna känsliga uppgifter, som bör anges på motsvarande sätt som i personuppgiftslagen. Om andra uppgifter gör att det finns anledning att behandla uppgifter om en person bör Tullverket därför undantagsvis få behandla också sådana känsliga uppgifter. I enlighet med Europarådets rekommendation bör det dock förutsätta att behandlingen är absolut nödvändig.

får behandlas för andra ändamål än arkivering endast om den misstänkte Prop. 2004/05:164 enligt förundersökningsledarens bedömning fortfarande är skäligen

misstänkt för brottet och om det behövs för att förundersökningen skall kunna tas upp på nytt. För det fall att ett åtal mot en person har lagts ned eller att en misstänkt har frikänts genom en lagakraftvunnen dom, föreslås det att uppgifter om brottsmisstanken får behandlas för andra ändamål än arkivering endast om förundersökningen tas upp på nytt eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.

8.5Behandling av uppgifter för att förhindra eller upptäcka brottslig verksamhet

Regeringens förslag: Om det behövs för att förhindra eller upptäcka brottslig verksamhet får Tullverket behandla sådana uppgifter som

–kan hänföras till en person, om de behandlade uppgifterna ger anledning att anta att sådan verksamhet utövats eller kan komma att utövas som innefattar brott för vilket är föreskrivet fängelse i minst två år eller som innefattar andra brott om verksamheten sker systematiskt, och gör att personen skäligen kan misstänkas för att ha utövat eller komma att utöva verksamheten,

–avser en person som utan att vara skäligen misstänkt kan antas ha samband med sådan brottslig verksamhet, eller

–inte direkt kan hänföras till en person, om uppgifterna avser sådana transportmedel, varor eller hjälpmedel, som kan antas ha samband med den nämnda brottsliga verksamheten.

Uppgifter om personer som kan antas ha samband med den brottsliga verksamheten utan att själva vara misstänkta för brottslig verksamhet får bara behandlas i ett ärende som rör viss preciserad sådan verksamhet. Direkt tillgång till uppgifterna skall i detta fall begränsas till de personer som arbetar med ärendet.

Utredningens förslag motsvarar i huvudsak regeringens, men begränsades till att endast avse behandling av uppgifter i tullbrottsdatabasen.

Remissinstanserna: Lunds universitet har vissa invändningar mot förslaget. Datainspektionen betonar att registreringen av uppgifter om icke misstänkta bör vara restriktiv så att det inte tillskapas överskottsinformation med oöverblickbara användningsmöjligheter. Övriga remissinstanser har ställt sig positiva till förslaget eller lämnat det utan erinran.

Skälen för regeringens förslag

Allmänna överväganden

Behandling av personuppgifter i Tullverkets underrättelseverksamhet är i dag tillåten endast i två särskilt angivna fall, dels inom ramen för en särskild undersökning (SUR), dels i ett särskilt underrättelseregister. Vid

sidan av denna underrättelseverksamhet bedriver Tullverket annan

70

handläggare eller de personer som t.ex. deltar i det aktuella Prop. 2004/05:164 underrättelseprojektet avseende den preciserade brottsliga verksamheten

får ha direkt tillgång till uppgifterna. Det är dock tillåtet att efter förfrågan föra över aktuella uppgifter till andra personer inom Tullverket, till exempelvis ett annat underrättelseprojekt i en annan del av landet, för att komplettera tillgänglig information, om uppgifterna behövs också i det projektet. Däremot får informationen inte läggas ut på ett intranät e.d. som stora delar av personalen har tillgång till.

Med begreppet direkt tillgång avses den interna direktåtkomsten inom myndigheten. Begreppet har införts för att göra åtskillnad mellan just den interna tillgången och extern direktåtkomst från t.ex. andra myndigheter.

Uppgifter om en icke misstänkt person måste vidare förses med en upplysning om att misstanke om brott inte föreligger, se avsnitt 8.8.

8.5.2Behandling av personuppgifter i kontrollverksamheten

Regeringens förslag: Om det behövs för att förhindra eller upptäcka brottslig verksamhet, får till Tullverket inkomna uppgifter om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas för planering av kontrollverksamheten och urval av kontrollobjekt.

Utredningens förslag: Utredningen har inte föreslagit motsvarande reglering.

Remissinstanserna: Frågan har uppkommit i samband med den fortsatta beredningen av lagrådsremissen. Förslaget har endast beretts under hand med Tullverket, Kustbevakningen och Datainspektionen. Några invändningar har därvid inte riktats mot förslaget.

Skälen för regeringens förslag: Av bestämmelsen framgår att vissa till Tullverket inkomna uppgifter får, om det behövs för att förhindra eller upptäcka brottslig verksamhet, behandlas för planering av kontrollverksamheten och urval av kontrollobjekt. De inkomna uppgifterna får avse passagerare, importörer, exportörer och transportörer samt varor och transportmedel. Härmed avses uppgifter om personer, varor eller fordon som fysiskt passerar gränsen, men även den som styr dessa flöden.

Enligt 6 kap. 23 § tullagen (2000:1281) och 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) har Tullverket rätt att begära in uppgifter om ankommande och avgående transporter från transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige under förutsättning att uppgifterna kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet. Vidare kan tips från allmänheten och uppgifter från svenska eller utländska myndigheter liksom olika internationella organisationer inkomma till Tullverket vilka kan vara värdefulla för Tullverkets arbete med att förhindra eller upptäcka brottslig verksamhet.

Mot bakgrund av dessa inkomna uppgifter kan Tullverket planera sin kontrollverksamhet, t.ex. genom omfördelning av

73

brottsbekämpningsgrupper till en specifik färjeankomst. Uppgifterna Prop. 2004/05:164 utgör vidare grund för tulltjänstemännens urval av objekt för kontroll.

Det kan för behandling av denna typ av uppgifter inte anses möjligt att upprätthålla kravet på misstanke om allvarlig brottslig verksamhet eller kravet på viss preciserad sådan verksamhet enligt vad som sagts i närmast föregående avsnitt, utan ett undantag får anses vara motiverat för att Tullverket effektivt skall kunna utföra arbetet med att förhindra eller upptäcka brottslig verksamhet. Uppgifter som behandlas enbart med stöd av denna bestämmelse får dock inte behandlas i tullbrottsdatabasen. Uppgifterna skall vidare gallras så snart de inte längre har betydelse för planeringen av kontrollverksamhet och urvalet av kontrollobjekt, dock senast fjorton dagar efter den aktuella transporten eller senast sex månader från registreringen i övriga fall (se avsnitt 12).

Det bör noteras att det i 6 kap. 24 § tullagen (2000:1281) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen) finns ytterligare bestämmelser om tillgången till och gallringen av vissa uppgifter från transportföretag.

8.6Behandling av uppgifter för att utreda eller beivra visst brott

Regeringens förslag: Tullverket får i ett ärende om utredning eller beivrande av ett visst brott behandla uppgifter om den person som kan misstänkas för brottet och om andra personer när det behövs för att utreda eller beivra brottet.

Direkt tillgång till uppgifterna skall begränsas till de personer som skall arbeta med ärendet. Regeringen får meddela föreskrifter om att flera får ha tillgång till vissa särskilda kategorier av uppgifter.

Utredningens förslag motsvarar i stort regeringens, men var begränsat till endast avse behandling i tullbrottsdatabasen.

Remissinstanserna har inte haft några invändningar mot förslaget. Skälen för regeringens förslag: Till skillnad från vad som gäller för

underrättelseverksamheten innebär det inga större svårigheter att avgränsa den krets personer om vilka uppgifter bör få behandlas för att utreda eller beivra brott. Tullverket måste få behandla uppgifter om samtliga de personer som förekommer i ett ärende om utredning eller beivrande av brott, oavsett skälet till att de förekommer i ärendet och oavsett om de är misstänkta eller inte.

Förutom att registrera information i särskilda databaser eller register, finns det också för framtiden ett påtagligt behov av att i förundersökningar och andra ärenden behandla inkomna och upprättade

I ett ärende om utredning eller beivrande av ett visst brott får uppgifter Prop. 2004/05:164 behandlas om den som kan misstänkas för brottet och om andra personer

när det behövs för utredningen eller beivrandet. Uppgifter får således behandlas om personer som förekommer i ett ärende som avser ett visst brott. Vanligtvis rör det sig om en förundersökning, med det kan även vara ett ärende som avser beivrande av brott inom ramen för ett förenklat eller summariskt förfarande. Bestämmelsen korresponderar med ändamålsbestämmelsen, se avsnitt 8.2.

Förutom uppgifter om den misstänkte, kan uppgifter behöva behandlas avseende personer som inte är misstänkta för brott, såsom vittnen, målsägande och ombud. Om spaningsverksamhet som förekommer inom ramen för en förundersökning resulterar i uppgifter om personer som bedöms ha relevans för ärendet får exempelvis dessa uppgifter behandlas med stöd av denna paragraf.

Åtkomsten till uppgifterna bör emellertid begränsas, med hänsyn till att även uppgifter om oskyldiga personer får lov att behandlas i t.ex. en förundersökning. Direkt tillgång till uppgifterna i ett ärende är således begränsad till de personer som skall arbeta med ärendet. Det bör dock finnas möjlighet för regeringen att meddela föreskrifter om att ytterligare personer skall få ha tillgång till vissa särskilda kategorier av uppgifter, t.ex. uppgifter om gjorda beslag, påföljd eller andra uppgifter som har anknytning till en brottsutredning.

För att säkerställa integritetsskyddet vid behandlingen av uppgifter och handlingar i förundersökningar och andra ärenden avseende brottsutredningar, skall uppgifter om en fysisk person som inte själv är misstänkt för brott förses med upplysning om att sådan misstanke saknas, se avsnitt 8.8.

därför inte exempelvis den situationen att Tullverket genom Prop. 2004/05:164 internationella överenskommelser är skyldigt att bistå andra länders

myndigheter med information som avser brott som inte begåtts i Sverige eller att i övrigt behandla sådan information.

Till skillnad från vad som gäller för den nationella brottsbekämpningen, är det inte möjligt att i lag eller förordning på ett uttryckligt och tydligt sätt reglera vilken behandling som skall vara tillåten för Tullverket. Hänsyn måste tas till att Sverige i många avseenden är beroende av gemensamma regler inom EU m.m. För att inte hindra Tullverkets möjligheter att uppfylla Sveriges åtaganden men samtidigt tillgodose rimliga rättssäkerhets- och integritetskrav anser regeringen att utgångspunkten bör vara lagen (2000:1219) om internationellt tullsamarbete. Lagen är generellt tillämplig på sådant internationellt samarbete på tullområdet som följer av internationella överenskommelser med en annan stat eller mellanfolklig organisation och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Däri regleras bl.a. förutsättningarna för informationsutbyte mellan Tullverket (och andra i lagen angivna behöriga svenska myndigheter) och utländska myndigheter eller internationella organisationer.

Uppgifter om personer bör således få behandlas om det behövs för att Tullverket skall kunna fullgöra Sveriges förpliktelser i enlighet med sådana internationella överenskommelser som omfattas av lagen om internationellt tullsamarbete. Enligt 1 kap. 3 § samma lag gäller samma förutsättningar som för motsvarande åtgärd i ett svenskt ärende. Vidare anges att tullsamarbetet inte får innebära att en svensk behörig myndighet vidtar en åtgärd som strider mot svensk lag eller annan författning. Det är således inte möjligt att i detta samarbete gå utöver vad som är tillåtet enligt nationell rätt. De förutsättningar för behandling av personuppgifter som anges i lagen skall alltså vara uppfyllda på motsvarande sätt när det gäller behandling av uppgifter för att uppfylla en begäran från utländsk myndighet om bistånd rörande ett brott mot utländsk lagstiftning.

Åtkomsten till dessa uppgifter bör begränsas genom att endast de personer som arbetar med tullsamarbetet får ha direkt tillgång till uppgifterna.

8.8Särskilda upplysningar

Regeringens förslag: Uppgifter om en person som inte är misstänkt för brott skall förses med särskild upplysning om detta, om det inte på annat sätt klart framgår att personen inte är registrerad som misstänkt för brott. Kan personen inte heller skäligen misstänkas för att ha utövat eller komma att utöva allvarlig brottslig verksamhet eller verksamhet som innefattar och brott och som sker systematiskt, skall upplysningen omfatta även detta.

Uppgifter om en person som kan antas ha samband med brottslig verksamhet skall dessutom förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

76

uppgiftslämnaren, t.ex. den som lämnar ett tips till Tullverket. Om Prop. 2004/05:164 möjligt skall också anges hur korrekt uppgiften är, dvs. om det är fråga

om en obekräftad gissning eller ett belagt faktum.

En annan viktig upplysning i underrättelseinformation om en person är uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Detta ligger i linje med skyddsreglerna i Europarådets rekommendation om användningen av personuppgifter inom polissektorn (se avsnitt 5.1.3). Enligt rekommendationen skall skilda kategorier av lagrade uppgifter så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet skall uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Av upplysningen skall således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet avseende informationen, t.ex. om den består av kontrollerade fakta eller endast icke styrkta gissningar.

I brottsutredande verksamhet framgår det i många fall direkt av sammanhanget varför en uppgift behandlas, t.ex. i förhörsprotokoll och vittneslistor m.m. Risken för missuppfattningar inom ramen för handläggningen av ett ärende torde därför generellt sett vara relativt liten. Naturligtvis finns det inget som hindrar att myndigheten, även i andra fall än de som föreslås vara obligatoriska i lagen, lämnar upplysningar om varför vissa uppgifter har registrerats.

8.9Uppgifter och handlingar som får behandlas i tullbrottsdatabasen

8.9.1Handlingar som får behandlas i tullbrottsdatabasen

Regeringens förslag: Handlingar som kommer in till eller upprättas av Tullverket i ett ärende skall om de förutsättningar som tidigare nämnts är uppfyllda få behandlas i tullbrottsdatabasen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna har inga invändningar mot bedömningen.

Skälen för regeringens förslag: Det föreslås att en handling som har kommit in till eller har upprättats av Tullverket i ett ärende, skall få behandlas i tullbrottsdatabasen under de förutsättningar som tidigare nämnts. Det innebär att det blir rättsligt möjligt för Tullverket att i den brottsbekämpande verksamheten arbeta med elektroniskt upprättade beslut, att ta emot elektroniska dokument från myndigheter m.fl. samt att skanna inkomna pappershandlingar och lagra dem elektroniskt som bilder i en databas. Härigenom finns förutsättningar för att i framtiden införa en långtgående elektronisk ärendehantering, som t.ex. kan leda till att originalhandlingar endast finns i elektronisk form och att pappersutskrifter endast är kopior av originalen.

Hanteringen av elektroniska akter innebär att det ställs krav på särskilda rättsliga överväganden av såväl insynssom integritetsskäl. Den viktigaste orsaken till detta är att det med en utbyggd elektronisk dokumenthantering inte går att sätta upp detaljerade regler för vilka

uppgifter som får registreras, eftersom dokument och andra handlingar

78

innehåller det skribenten väljer att skriva. En viktig fråga som Prop. 2004/05:164 uppkommer vid hantering av elektroniska handlingar är om det skall

gälla särskilda regler för behandlingen av känsliga personuppgifter, elektroniskt utlämnande, direktåtkomst, sökmöjligheter och gallring. En annan viktig fråga är säkerhetsaspekten, bl.a. hur man skall utforma tekniska lösningar som garanterar äktheten hos elektroniska dokument.

8.9.2Uppgifter som får behandlas i tullbrottsdatabasen

Regeringens förslag: De kategorier av uppgifter som skall få behandlas i tullbrottsdatabasen anges uttryckligen i lag.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om de uppgifter som får behandlas i tullbrottsdatabasen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Helsingborgs tingsrätt är tveksam till förslaget.

Övriga remissinstanser har lämnat förslaget utan erinran.

Skälen för regeringens förslag: För att det på en övergripande nivå skall gå att utläsa vad som finns eller kan finnas registrerat om enskilda i tullbrottsdatabasen, bör det i lagen anges en ram för registreringen. Regeringen anser att det är lämpligt att i lagen ange vilka kategorier av uppgifter som får finnas i en databas, medan en närmare beskrivning av vilka uppgifter som ingår i varje kategori bör återfinnas i en förordning eller i myndighetsföreskrifter, för det fall en sådan precisering behövs. Det kan i en kompletterande förordning anges att det åligger Tullverket att meddela de närmare föreskrifter som behövs om vilka uppgifter som får behandlas i tullbrottsdatabasen.

De kategorier av uppgifter som regeringen anser behöver kunna behandlas i tullbrottsdatabasen är följande:

– uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

– uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

– upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,

– de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,

– uppgifter om särskilda fysiska kännetecken,

– uppgifter om varor, brottshjälpmedel och transportmedel,

– varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,

– ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,

– administrativa åtgärder i ett ärende,

– uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som verket är skyldigt att utföra enligt lagen (2000:1219) om

internationellt tullsamarbete,

79

En uppgift om t.ex. ärendetypskod utgör med andra ord inte en teknisk Prop. 2004/05:164 uppgift i den nu avsedda bemärkelsen.

9Elektroniskt inhämtande och utlämnande av uppgifter

9.1Elektroniskt inhämtande av uppgifter

Regeringens bedömning: Det finns inte anledning att införa några uttryckliga begränsningar för elektroniskt inhämtande av uppgifter till Tullverket.

Utredningens bedömning överensstämmer med regeringens. Utredningen gör dock generellt åtskillnad mellan uppgifter och handlingar.

Remissinstanserna har ingen erinran mot utredningens bedömning.

Skälen för regeringens bedömning: Det föreligger inte några integritetsskäl mot att enskilda eller myndigheter, som av olika anledningar har att lämna uppgifter, gör detta med hjälp av automatiserad behandling. Om Tullverket anser det lämpligt, bör således t.ex. information under handläggning av ärenden kunna inhämtas via e-post i stället för muntligen via telefon eller skriftligen via fax eller brev. Några rättsliga hinder bör inte ställas upp i den föreslagna lagen för Tullverket att automatiserat hämta in uppgifter direkt från en annan myndighets register, under förutsättning att uppgifterna får behandlas av verket och att den utlämnande myndigheten får och vill lämna ut uppgifterna på det sättet. Tullverkets möjligheter att faktiskt hämta in information elektroniskt kan emellertid begränsas av andra författningar eller av tekniska orsaker.

Regeringen anser således att det inte finns skäl för att i en författning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet införa begränsningar av på vilket sätt uppgifter får hämtas in eller tas emot av Tullverket, oavsett om de inhämtade uppgifterna skall behandlas i tullbrottsdatabasen eller på annat sätt. I den mån en viss uppgift får hämtas in till Tullverket och behandlas automatiserat där, bör inhämtandet i princip kunna ske på det sätt som verket och avsändaren anser mest lämpligt.

9.2Elektroniskt utlämnande av uppgifter på medium för automatiserad behandling

Regeringens förslag: Enstaka uppgifter får lämnas ut på medium för automatiserad behandling. Regeringen får meddela föreskrifter om att utlämnande på sådant medium får ske även i andra fall.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningens förslag innebar att en åtskillnad gjordes mellan uppgifter

81

10.1Begreppet direktåtkomst

I många registerlagar och andra författningar avseende behandling av personuppgifter regleras frågan om utomståendes direktåtkomst till myndigheters register och databaser särskilt. Det finns inte någon legaldefinition av begreppet direktåtkomst, men frågor om sådan åtkomst har diskuterats i ett flertal förarbeten (se t.ex. prop. 2000/01:33 s. 131).

Den grundläggande innebörden av begreppet direktåtkomst är vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär att om en enskild har direktåtkomst till samtliga uppgifter i en myndighets register, så kan den enskilde själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter skall lämnas ut.

Det kan tilläggas att det normalt inte behöver regleras särskilt att en myndighet får ha direktåtkomst till sina egna register och databaser, under förutsättning att det inte inom myndigheten råder sekretess mellan självständiga verksamhetsgrenar.

10.2Förhållandet mellan direktåtkomst och sekretess

Möjligheterna att vid informationsutbyte mellan exempelvis två myndigheter utnyttja direktåtkomst, kan begränsas av sekretesslagens bestämmelser. En myndighet kan inte tillåta en annan myndighet att få direktåtkomst till ett register, om uppgifterna i registret omfattas av sekretess som innebär att den mottagande myndigheten vid en prövning enligt sekretesslagen inte med säkerhet skulle ha rätt att ta del av uppgifterna. I och med att direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter den vill ta del av blir uppgifterna nämligen att anse som röjda i sekretesslagens mening i och med att direktåtkomsten finns. Det spelar i det avseendet ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte. Detsamma måste anses gälla mellan självständiga verksamhetsgrenar inom en myndighet, eftersom sekretess gäller mellan sådana verksamhetsgrenar på samma sätt som mellan skilda myndigheter (1 kap. 3 § sekretesslagen).

Eftersom en bestämmelse om direktåtkomst inte har någon sekretessbrytande effekt i sig är en förutsättning för att direktåtkomst skall kunna tillåtas därför att åtkomsten antingen endast avser offentliga uppgifter eller att den avser sådana sekretessbelagda uppgifter som får lämnas ut till den mottagande myndigheten med stöd av sekretessbrytande bestämmelser (jfr t.ex. 14 kap. 1, 2 och 3 §§ sekretesslagen).

83

I Sverige är det brottsbekämpande arbetet uppdelat mellan flera myndigheter – Polisen, Tullverket, Kustbevakningen, Åklagarmyndigheten, Ekobrottsmyndigheten och Skatteverkets skattebrottsenheter. Gemensamt för dessa myndigheters verksamhet är att sekretess enligt sekretesslagen gäller för flertalet av de uppgifter som behandlas. När uppgifter skall lämnas mellan de brottsbekämpande myndigheterna måste hänsyn därför tas till sekretesslagstiftningen.

Det finns ett antal bestämmelser som innebär att sekretess i vissa fall inte utgör hinder för ett utbyte av uppgifter mellan myndigheter. Av 1 kap. 5 § sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Bestämmelsen kan således aldrig tillämpas på den grunden att den mottagande myndigheten behöver uppgifterna. Den skall dessutom tillämpas restriktivt. Ytterligare sekretessbrytande bestämmelser finns i 14 kap. sekretesslagen. I 14 kap. 1 § anges bl.a. att sekretess inte hindrar ett utlämnande till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. När uppgifter behövs i bl.a. förundersökningar kan de, med vissa undantag, lämnas ut enligt de särskilda bestämmelserna i 14 kap. 2 §. Slutligen finns i 14 kap. 3 § första stycket den s.k. generalklausulen, en bestämmelse som innebär att sekretessbelagda uppgifter får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Vissa undantag från generalklausulens område stadgas dock i paragrafens andra stycke.

En avgörande betydelse har bestämmelsen i 15 kap. 5 § sekretesslagen, som säger att en myndighet på begäran av en annan myndighet skall lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär alltså att om en myndighet begär en uppgift från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, eller naturligtvis om uppgiften är offentlig, så skall den lämnas ut.

10.4Sekretess och informationsutbyte i brottsutredningar

För uppgifter som hänför sig till förundersökningar och till åklagarmyndighets, polismyndighets, Skatteverkets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, gäller sekretess med hänsyn både till skydd för verksamheten enligt 5 kap. 1 § första stycket 1–4 sekretesslagen och till skydd för enskilda enligt 9 kap. 17 § första stycket 1, 2, 4, 6, 8 och 10 samma lag. Frågan om sekretess och informationsutbyte i underrättelseverksamhet behandlas särskilt i nästa avsnitt (10.5).

Enligt 5 kap. 1 § första stycket sekretesslagen gäller ett rakt skaderekvisit, vilket innebär att en uppgift i en förundersökning m.m. är sekretessbelagd om det kan antas att syftet med beslutade eller

förutsedda åtgärder motverkas eller den framtida verksamheten skadas

84

om uppgiften röjs. Presumtionen är således i detta fall för offentlighet. Prop. 2004/05:164 För sekretessen enligt 9 kap. 17 § gäller i stället ett omvänt skaderekvisit,

vilket betyder att en uppgift i en förundersökning är sekretessbelagd om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider skada eller men. Presumtionen är således i detta fall för sekretess. Sekretessen i 9 kap. 17 § första stycket är uppdelad så att punkterna 1, 2 och 4 avser sekretess i verksamhet med bl.a. brottsutredningar oavsett formen för behandling, medan punkterna 6, 8 och 10 avser sekretess endast för uppgifter som behandlas automatiserat i register eller på annat sätt, oavsett om det gäller brottsutredningar eller underrättelseverksamhet.

I 14 kap. 2 § fjärde stycket sekretesslagen anges att sekretess inte hindrar att uppgift som angår misstanke om brott lämnas till en brottsbekämpande myndighet. Det krävs dock både att fängelse är föreskrivet för brottet och att brottet kan antas föranleda annan påföljd än böter. Bestämmelsen är alltså inte tillämplig vid mindre allvarlig brottslighet. Vidare skall det brott som misstanken avser vara begånget (prop. 1981/82:186 s. 25 och prop. 1983/84:142 s. 31).Vissa uttryckliga begränsningar av bestämmelsens tillämpning görs också i 14 kap. 2 § femte stycket avseende uppgifter inom t.ex. sjukvården och socialtjänsten.

Det skall noteras att det i lagtexten inte anges vilken grad av misstanke som skall föreligga för att sekretessen skall brytas. . Det framgår dock av prop. 1983/84:142 s. 31 f och prop. 2001/02:191 s. 46 f att myndigheterna vid tillämpning av bestämmelsen själva får avgöra i vilka fall misstankarna är av sådan styrka att uppgift bör lämnas till andra myndigheter, samt att gällande reglering erbjuder myndigheterna relativt stora möjligheter att lämna ut uppgifter om misstänkt brottslighet när så anses befogat. Det betonas vidare i förarbetena att avsikten inte är att myndigheterna skall vara passiva när det uppkommer misstankar om brott utan att det är önskvärt att myndigheterna utnyttjar de möjligheter att lämna ut uppgifter om brott som bestämmelsen innebär, samt att en myndighet, när den har rätt att utlämna en uppgift, också skall lämna ut uppgiften om den begärs av en annan myndighet.

I praktiken innebär den nämnda bestämmelsen att det, beträffande brott för vilket fängelse är föreskrivet och påföljden kan förväntas bli en annan än böter, normalt inte föreligger några egentliga problem när en brottsbekämpande myndighet i en förundersökning – eller förenklad brottsutredning – begär ut uppgifter från en annan brottsbekämpande myndighet. Detta gäller oavsett om den uppgift som begärs utlämnad förekommer i den utlämnande myndighetens verksamhet med förundersökning, underrättelseverksamhet eller brottsbekämpning i övrigt.

innebär att en uppgift i underrättelseverksamhet är sekretessbelagd, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Till skydd för enskildas intressen finns det sekretessbestämmelser i 9 kap. 17 § sekretesslagen. Enligt första stycket punkten 1 gäller sekretess för uppgift om enskilds personliga och ekonomiska förhållanden i utredning enligt bestämmelserna om förundersökning i brottmål. Enligt punkten 4 i samma stycke gäller sekretess för motsvarande uppgifter även i åklagarmyndighets, polismyndighets, Skatteverkets, Statens kriminaltekniska laboratoriums, Tullverkets samt Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. I båda fallen gäller sekretessen om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Sekretessen enligt punkten 4 är tillämplig i underrättelseverksamhet. Motsvarande sekretess gäller dessutom enligt 9 kap. 17 § första stycket 6, 8 och 10 för uppgifter i register m.m., bl.a. underrättelseregister, som förs av Tullverket, Rikspolisstyrelsen eller Skatteverket med stöd av de för myndigheterna gällande registerlagarna. Uppgifter som behandlas automatiserat i såväl underrättelseregister som i särskilda undersökningar omfattas alltså av sekretess enligt 9 kap. 17 §.

För att den sekretessbrytande bestämmelsen i 14 kap. 2 § fjärde stycket sekretesslagen skall vara tillämplig skall, som tidigare nämnts, det brott misstanken avser vara begånget. Detta innebär att nämnda bestämmelse inte är tillämplig ifråga om underrättelseverksamhet, eftersom sådan verksamhet avser arbete med att förhindra och upptäcka brottslig verksamhet, dvs. när man inte direkt kan peka ut eller misstänka ett konkret brott. Följden av detta är att sekretessbelagda uppgifter som en myndighet hanterar i sin brottsbekämpande verksamhet – vare sig det gäller förundersökningar eller underrättelseverksamhet – får lämnas ut till en annan brottsbekämpande myndighets underrättelseverksamhet på begäran endast om det finns sekretessbrytande bestämmelser i särskild lagstiftning eller efter en intresseavvägning enligt generalklausulen i 14 kap. 3 §. Det innebär att det av sekretesskäl finns större hinder för de brottsbekämpande myndigheterna att utväxla uppgifter med varandra i underrättelseverksamhet än i verksamhet med brottsutredningar.

10.6Direktåtkomst för andra myndigheter

arbetsuppgifter att genom direktåtkomst ta del av relevanta uppgifter i register som förs i den s.k. tullbrottsdatabasen av Tullverket i den brottsbekämpande verksamheten. De myndigheter som avses är Rikspolisstyrelsen, polismyndigheter, Åklagarmyndigheten Ekobrottsmyndigheten, Skatteverket (skattebrottsenheterna) samt Kustbevakningen. Direktåtkomst får dock bara ske under förutsättning att regeringen meddelat föreskrifter därom.

Bestämmelsen om att åtkomsten till tullbrottsdatabasen skall begränsas till vad var och en behöver för att kunna utföra sina arbetsuppgifter gäller även när anställda vid andra myndigheter har direktåtkomst till tullbrottsdatabasen.

För att problem inte skall uppstå av sekretesskäl bör det i förordning också införas en sekretessbrytande uppgiftsskyldighet som innebär att uppgifter i tullbrottsdatabasen skall lämnas ut till de myndigheter som får ha direktåtkomst till tullbrottsdatabasen (jfr 14 kap. 1 § sekretesslagen).

därför föreslagit att direktåtkomst endast kan komma ifråga om Prop. 2004/05:164 regeringen har meddelat föreskrifter därom eller om det är nödvändigt

för att Tullverket skall kunna fullgöra Sveriges internationella åtaganden i enlighet med lagen (2000:1219) om internationellt tullsamarbete.

Regeringen instämmer visserligen i utredningens bedömning att det är svårt att förutse vilka skyldigheter som åligger eller kan komma att åläggas Tullverket beträffande det internationella informationsutbytet, varför det är svårt att i lag ange under vilka förutsättningar ett sådant samarbete får ske.

Sverige har emellertid inte ingått några överenskommelser på tullområdet vilka förutsätter att utländska myndigheter skall ges direktåtkomst till nationella register i den brottsbekämpande verksamheten. Några sådana överenskommelser är för närvarande inte heller under utarbetande. Mot bakgrund av detta samt med hänsyn till skyddet för den personliga integriteten för den enskilde, anser regeringen att det i dagsläget inte föreligger tillräckligt starka skäl som motiverar att utländska myndigheter skall ges direktåtkomst till uppgifter i tullbrottsdatabasen. För det fall att ett sådant behov uppkommer, framstår det som lämpligt att då företa en mer grundläggande utredning och analys av utformningen av en sådan reglering.

Regeringen finner mot bakgrund av det anförda inte skäl att nu lägga fram förslag till lagstiftning på området.